GDD: EU-U.S. Privacy Shield verabschiedet
Die Europäische Kommission hat das Privacy Shield Framework als Nachfolgeregelung zu Safe Harbor am gestrigen Tag beschlossen. Empfänger personenbezogener Daten in den USA können durch eine Zertifizierung nach den Vorgaben des Privacy Shield beim US-Handelsministerium ein angemessenes Datenschutzniveau im Sinne des § 4b BDSG gewährleisten.
Nach den hohen Wellen, die das Urteil des EuGH zu Safe Harbor in die transatlantischen Datenströme geschlagen hat, kann bald wieder etwas Ruhe in die Einbeziehung von US-Datenempfängern in die Verarbeitung von personenbezogenen Daten europäischer Bürgerinnen und Bürger einkehren. Nur Monate nach der Ungültigkeit des „sicheren Hafens“ wurde gestern die Nachfolgeregelung in Gestalt des EU-U.S. Privacy Shield durch die Europäische Kommission beschlossen, nachdem das obligatorische Ausschussverfahren nach Art. 31 der EU-Datenschutzrichtlinie erfolgreich durchlaufen wurde. Der Verabschiedung gingen vergleichsweise kurze Verhandlungen[1] zwischen Vertretern der Europäischen Kommission und dem US-Handelsministerium voraus, um das Vertrauen von Betroffenen in den Umgang mit ihren personenbezogenen Daten in den USA wiederherzustellen.
Durch die Verabschiedung des Privacy Shield, einschließlich des Angemessenheitsbeschlusses der EU-Kommission bezüglich des Schutzniveaus bei zertifizierten Datenempfängern in den USA, kann die sog. „2. Prüfstufe“ für den Export personenbezogener Daten in die USA an zertifizierte Empfänger nach diesem Framework gemeistert werden. Die 1. Prüfstufe hinsichtlich der Zulässigkeit der Datenübermittlung muss weiterhin genommen werden. Die Mitgliedstaaten sind an die Angemessenheitsentscheidung der Kommission gebunden. Nationalen Aufsichtsbehörden ist es unbenommen, die Eingabe einer Person dahingehend zu prüfen, ob im Rahmen einer Übermittlung sie betreffender personenbezogener Daten aus einem Mitgliedstaat in ein Drittland wie die USA, ein angemessenes Schutzniveau gewährleistet ist.[2]
Datenverarbeiter in den USA können sich ab dem 1. August 2016 durch verbindliche Erklärung gegenüber dem US-Handelsministerium nach dem EU-U.S. Privacy Shield zertifizieren. Bis zur Zertifizierung müssen die neuen Vorgaben des Privacy Shield umgesetzt worden sein. Verantwortliche Stellen in Europa sollten ab dem 1. August prüfen, ob eine Zertifizierung für das neue Framework tatsächlich vorliegt. Das beim US-Handelsministerium geführte Register ist derzeit jedoch noch nicht zugänglich.
Weitere Informationen zum Privacy Shield finden Sie auf den Webseiten der Kommission sowie des US-Handelsministeriums.
[1] Zu den Inhalten des EU-U.S. Privacy Shield und dem Gang der Verhandlungen, siehe Whitepaper des GDD-Arbeitskreises „Datenschutz International“ zu Datenexporten in die USA.
[2] So EuGH, Urteil vom 6. Oktober 2015 – Az. C 362/14.