Erster Leitfaden zum Datenaustausch auf Basis des EU-US Privacy Shield
Wie allgemein bekannt sein dürfte, ist seit einigen Monaten – konkret seit dem 12.07.2016 - der „Safe Harbor“-Nachfolger „EU US Privacy Shield“ in Kraft. Somit können seitdem grundsätzlich personenbezogene Daten auf Basis dieses Abkommens von europäischen Unternehmen an US-Firmen übertragen werden – sei es beispielsweise im Rahmen eines Datenaustauschs zwischen Mutter- und Tochterunternehmen bzw. Kunden und Lieferanten, der Nutzung US-amerikanischer Cloud-Anbieter oder anderer Dienstleistungen. Nicht so ganz klar war jedoch bisher, welche konkreten Aufgaben in diesem Zusammenhang auf ein europäisches Unternehmen zukommen.
Ein kürzlich erschienener Leitfaden der nordrhein-westfälischen Datenschutzaufsichtsbehörde leistet hier nun erstmals konkrete Hilfestellung. So sind von der verantwortlichen Stelle die folgenden Prüfpflichten zu erfüllen:
- Es ist zunächst einmal zu überprüfen, ob das datenempfangende US-Unternehmen überhaupt über ein gültiges Privacy Shield-Zertifikat verfügt. Dies kann anhand einer im Internet (nur auf Englisch) verfügbaren Liste des US-Handelsministeriums abgeglichen werden. Das Zertifikat, das im Rahmen einer Selbst- oder Fremdzertifizierung erlangt werden kann, ist 1 Jahr gültig und muss somit jährlich erneuert werden. Ein nicht mehr zertifiziertes Unternehmen rutscht von der Liste der aktiv zertifizierten auf die Liste der inaktiven Unternehmen. Deswegen ist seitens des europäischen Unternehmens regelmäßig zu überprüfen, ob sich die US-Firmen, mit denen ein entsprechender Datenaustausch betrieben wird, überhaupt noch auf der aktiven Liste befinden.
- Ebenfalls anhand der genannten Liste ist zu prüfen, ob die Kategorien der personenbezogenen Daten, die ausgetauscht werden sollen, von dem Zertifikat abgedeckt sind. Denn nicht jedes US-Unternehmen ist berechtigt, sämtliche Kategorien von Daten zu erhalten. Unterschieden wird hierbei zwischen Personaldaten („HR“) und allen übrigen Daten („non-HR“). Da an die Übermittlung von Personaldaten seitens der europäischen Datenschutzbehörden strengere Auflagen gekoppelt sind, haben viele US-Unternehmen darauf verzichtet, sich für diese Datenkategorie zu zertifizieren.
- Die verantwortliche Stelle ist angehalten, vom US-Unternehmen den Nachweis darüber einzufordern, wie dieses seinen Informationspflichten gegenüber den betroffenen Personen nachkommt.
- Sofern das betreffende US-Unternehmen noch die bis 01.10.2016 geltenden Übergangsregelungen in Anspruch nimmt, hat sich die verantwortliche Stelle von diesem die vollständige Umsetzung der Anforderungen aus dem Privacy Shield-Abkommen nach Ablauf dieser Übergangsfrist nachweisen zu lassen.
Die Erfüllung der Prüfpflichten ist somit eine recht überschaubare Aufgabe. Sinn und Zweck des Privacy Shield war und ist es ja auch, den europäischen Unternehmen für ihre Übermittlung personenbezogener Daten an US-Firmen ein ähnlich bequemes „Werkzeug“ an die Hand zu geben wie es bereits das vom EU-Gerichtshof gekippte Safe Harbor-Abkommen war. Allerdings gab es bekanntermaßen bereits kurz nach Bekanntwerdens des Inhalts des Privacy Shield-Abkommens zahlreiche kritische Stimmen – nicht zuletzt auch von der Artikel-29-Gruppe (Arbeitsgruppe der europäischen Datenschutzbehörden) -, die ernste Zweifel am Bestand der gerade erst aus der Taufe gehobenen Vereinbarung geweckt haben. So behält es sich die nordrhein-westfälische Datenschutzbehörde beispielsweise explizit vor, in Abhängigkeit der Ergebnisse der jährlich stattfinden Überprüfung und Bewertung des Privacy Shield durch die Artikel-29-Gruppe und auch in Abhängigkeit eigener Erkenntnisse, auf dem Privacy Shield basierende Datenübermittlungen in Einzelfällen zu untersagen. Auch ist es wohl nur eine Frage der Zeit, bis es auch zum Privacy Shield ein Verfahren vor dem EUGH analog zum damaligen Safe Harbor-Verfahren geben wird – mit welchem Ergebnis bleibt abzuwarten.
Somit sind Datenübermittlungen an US-Unternehmen auf Basis des Privacy Shield nichts, worauf sich europäische Unternehmen dauerhaft und blind verlassen können. Dies ist langfristigen Planungen und Investitionen nicht gerade zuträglich. Die Alternativen „EU-Standardvertragsklauseln“ und „Binding Corporate Rules (BCR)“ sind zwar in diesem Zusammenhang durchaus eine Überlegung wert, aber ebenfalls nicht vor Unwägbarkeiten gefeit. Dies zeigt z.B. das von der irischen Datenschutzbehörde vor dem irischen Commercial Court angestrengte und für Februar 2017 zur Verhandlung angesetzte Verfahren zur Überprüfung der EU-Standardvertragsklauseln.
Was bleibt, ist die Erkenntnis: „Nichts ist sicher.“