EU konkretisiert Privacy Shield

EU konkretisiert Privacy Shield

Die gekippte Safe Harbor-Regelung betrifft die Unternehmen nach wie vor. An einer rechtssicheren Nachfolgelösung mangelt es aber weiterhin. Laut EU-Kommission soll der EU-U.S. Privacy Shield bald Abhilfe schaffen. Sie hat kürzlich die relevanten zugrunde liegenden Dokumente veröffentlicht, die näheren Einblick in die neue Regelung geben.

Partner, Forensic

KPMG AG Wirtschaftsprüfungsgesellschaft

Kontakt

Verwandte Inhalte

Privacy Shield

Die EU-Kommission hat Dokumente veröffentlicht, die aufzeigen, was der EU-US Privacy Shield beinhalten soll. Der Privacy Shield wird den Transfer von Daten in die USA regeln und wurde von der Europäischen Union und den Vereinigten Staaten im Februar ausgehandelt. Damit sollte das entstandene Rechtsvakuum behoben werden, das entstanden war, nachdem der Europäische Gerichtshof das Vorgängerabkommen Safe Harbor für ungültig erklärt hatte. Bisher handelt es sich um einen Entwurf, der noch von verschiedenen Gremien bestätigt werden muss. Für Unternehmen geben die nun veröffentlichten Dokumente aber einen Hinweis auf die neuen Datentransferregeln.

1. Strenge Auflagen für Unternehmen und eine robuste Durchsetzung und Sanktionierung

Die Kommission verspricht sich vom Privacy Shield mehr Transparenz und die Implementierung effektiver Überwachungsmechanismen. Diese sollen sicherzustellen, dass US-Unternehmen die neuen Datenschutzbestimmungen einhalten. Verstöße sollen strikt geahndet werden, im schlimmsten Fall droht sogar ein Ausschluss aus dem Privacy Shield.

2. Klare Sicherheitsmaßnahmen und Transparenzpflichten hinsichtlich des Zugriffs amerikanischer Nachrichtendienste

Die EU Kommission teilt mit, dass man zum ersten Mal die schriftliche Zusage der zuständigen US-Behörden bekommen habe, dass die Datensammlung durch öffentliche Stellen, wie Strafverfolgungsbehörden oder Geheim- und Nachrichtendienste, strengen Zugriffbeschränkungen sowie Sicherheits- und Überwachungsmechanismen unterliege. Ein generalisierter Datenzugriff sei somit nicht mehr möglich.

Daneben soll für EU-Bürger eine von den Geheim- und Nachrichtendiensten unabhängige Ombudsperson als Unterstützung bei der Durchsetzung von Rechtsmitteln eingerichtet werden. Diese soll Beschwerden und Anfragen betroffener EU-Bürger verfolgen und diesen gegenüber Auskunft erteilen, ob die entsprechenden Regelungen beachtet wurden bzw. bei Nicht-Beachtung sanktioniert wurden.

3. Effektive Sicherstellung der Datenschutzrechte der EU-Bürger durch verschiedene Rechtsmittel und -wege

EU-Bürger können nun im Falle eines Datenschutzverstoßes auf verschiedenen Wegen ihre Rechte geltend machen – auch vor US Gerichten. Unternehmen verpflichten sich, Beschwerden der Betroffenen innerhalb von 45 Tagen zu beantworten. Zudem soll kostenlos die Möglichkeit einer alternativen Streitbeilegung bestehen. Darüber hinaus können sich Betroffene an ihre Heimat-Datenschutzbehörde wenden, die in Zusammenarbeit mit der Federal Trade Commission dafür sorgen soll, dass Beschwerden untersucht und beigelegt werden. Sollte keiner dieser Wege zu einer Lösung führen, kann das Privacy Shield Panel in einem Schiedsgerichtsverfahren angerufen werden. Dieses ist berechtigt, bindende Entscheidungen gegenüber dem Privacy Shield beigetretenen Unternehmen zu treffen.

4. Mechanismus zur jährlichen gemeinsamen Überprüfung

Die Kommission und das US Department of Commerce werden jährlich die Anwendung des Privacy Shields überprüfen. Zu dieser Überprüfung sollen Experten aus den USA und der EU hinzugezogen werden. Darüber hinaus wolle man auch auf alle weiteren relevanten Informationen zugreifen, etwa auf freiwillige Transparenzberichte von Unternehmen. Auf Basis der Überprüfung wird die Kommission dem EU-Parlament und dem Europäischen Rat einen öffentlichen Bericht zukommen lassen. Daneben ist eine jährliche Versammlung mit NGOs und weiteren Stakeholdern vorgesehen, um über aktuelle Entwicklungen im Datenschutz zu informieren.

Prüfung durch Datenschutzgruppe

Der Entwurf wird nun einem Komitee bestehend aus Vertretern der einzelnen Mitgliedsstaaten und der Art. 29-Datenschutzgruppe vorgelegt. Diese hatte in ihrer ersten Pressekonferenz verlauten lassen, dass mit einer finalen Auswertung frühestens Mitte bis Ende April zu rechnen sei. In diesem Zusammenhang steht zudem die Entscheidung aus, ob auch Standardvertragsklauseln und Binding Corporate Rules keine zulässige Grundlage für Datenübermittlungen in die USA darstellen. Aktuell werden Übermittlungen auf deren Basis noch als zulässig anerkannt, jedoch zumindest von den deutschen Landesdatenschutzbehörden keine Neugenehmigungen erteilt.

In den USA sollen währenddessen die zur Umsetzung des Privacy Shields notwendigen Vorkehrungen getroffen werden.

Rechtsunsicherheit bleibt bestehen

„Die Phase der Rechtsunsicherheit bleibt also noch eine Weile bestehen“, sagt KPMG-Partner Barbara Scheben. „Unternehmen sollten sich daher datenschutzrechtlich bestmöglich aufzustellen und etwaige Verarbeitungsvorgänge sorgsam überprüfen.“ Vielfach zeige sich, dass erheblich mehr Prozesse eine Übermittlung im Sinne des Datenschutzrechts darstellen als die verantwortlichen Stellen annehmen.

Weitere Informationen finden Sie auf unserer Themenseite.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden

KPMG's neue digitale Plattform

KPMG's neue digitale Plattform