Die Euro­päi­sche Kom­mis­si­on hat das Pri­va­cy Shield Frame­work als Nach­fol­ge­re­ge­lung zu Safe Har­bor am gest­ri­gen Tag beschlos­sen. Emp­fän­ger per­so­nen­be­zo­ge­ner Daten in den USA kön­nen durch eine Zer­ti­fi­zie­rung nach den Vor­ga­ben des Pri­va­cy Shield beim US-Han­dels­mi­ni­ste­ri­um ein ange­mes­se­nes Daten­schutz­ni­veau im Sin­ne des § 4b BDSG gewähr­lei­sten.

Nach den hohen Wel­len, die das Urteil des EuGH zu Safe Har­bor in die trans­at­lan­ti­schen Daten­strö­me geschla­gen hat, kann bald wie­der etwas Ruhe in die Ein­be­zie­hung von US-Daten­emp­fän­gern in die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten euro­päi­scher Bür­ge­rin­nen und Bür­ger ein­keh­ren. Nur Mona­te nach der Ungül­tig­keit des „siche­ren Hafens“ wur­de gestern die Nach­fol­ge­re­ge­lung in Gestalt des EU-U.S. Pri­va­cy Shield durch die Euro­päi­sche Kom­mis­si­on beschlos­sen, nach­dem das obli­ga­to­ri­sche Aus­schuss­ver­fah­ren nach Art. 31 der EU-Daten­schutz­richt­li­nie erfolg­reich durch­lau­fen wur­de. Der Ver­ab­schie­dung gin­gen ver­gleichs­wei­se kur­ze Verhandlungen[1] zwi­schen Ver­tre­tern der Euro­päi­schen Kom­mis­si­on und dem US-Han­dels­mi­ni­ste­ri­um vor­aus, um das Ver­trau­en von Betrof­fe­nen in den Umgang mit ihren per­so­nen­be­zo­ge­nen Daten in den USA wie­der­her­zu­stel­len.

Durch die Ver­ab­schie­dung des Pri­va­cy Shield, ein­schließ­lich des Ange­mes­sen­heits­be­schlus­ses der EU-Kom­mis­si­on bezüg­lich des Schutz­ni­veaus bei zer­ti­fi­zier­ten Daten­emp­fän­gern in den USA, kann die sog. „2. Prüf­stu­fe“ für den Export per­so­nen­be­zo­ge­ner Daten in die USA an zer­ti­fi­zier­te Emp­fän­ger nach die­sem Frame­work gemei­stert wer­den. Die 1. Prüf­stu­fe hin­sicht­lich der Zuläs­sig­keit der Daten­über­mitt­lung muss wei­ter­hin genom­men wer­den. Die Mit­glied­staa­ten sind an die Ange­mes­sen­heits­ent­schei­dung der Kom­mis­si­on gebun­den. Natio­na­len Auf­sichts­be­hör­den ist es unbe­nom­men, die Ein­ga­be einer Per­son dahin­ge­hend zu prü­fen, ob im Rah­men einer Über­mitt­lung sie betref­fen­der per­so­nen­be­zo­ge­ner Daten aus einem Mit­glied­staat in ein Dritt­land wie die USA, ein ange­mes­se­nes Schutz­ni­veau gewähr­lei­stet ist.[2]

Daten­ver­ar­bei­ter in den USA kön­nen sich ab dem 1. August 2016 durch ver­bind­li­che Erklä­rung gegen­über dem US-Han­dels­mi­ni­ste­ri­um nach dem EU-U.S. Pri­va­cy Shield zer­ti­fi­zie­ren. Bis zur Zer­ti­fi­zie­rung müs­sen die neu­en Vor­ga­ben des Pri­va­cy Shield umge­setzt wor­den sein. Ver­ant­wort­li­che Stel­len in Euro­pa soll­ten ab dem 1. August prü­fen, ob eine Zer­ti­fi­zie­rung für das neue Frame­work tat­säch­lich vor­liegt. Das beim US-Han­dels­mi­ni­ste­ri­um geführ­te Regi­ster ist der­zeit jedoch noch nicht zugäng­lich.

Wei­te­re Infor­ma­tio­nen zum Pri­va­cy Shield fin­den Sie auf den Web­sei­ten der Kom­mis­si­on sowie des US-Han­dels­mi­ni­ste­ri­ums.

[1] Zu den Inhal­ten des EU-U.S. Pri­va­cy Shield und dem Gang der Ver­hand­lun­gen, sie­he White­pa­per des GDD-Arbeits­krei­ses „Daten­schutz Inter­na­tio­nal“ zu Daten­ex­por­ten in die USA.

[2] So EuGH, Urteil vom 6. Okto­ber 2015 – Az. C 362/​14.