Seite wählen

Privacy Shield – Neuer sicherer Rechtsrahmen?

Foto Vorhängeschloss (iStock)

Bringt der Privacy Shield mehr Datensicherheit? (Bild: istockphoto.com)

Bringt der Privacy Shield mehr Datensicherheit? (Bild: istockphoto.com)

Das EU-US Privacy Shield-Abkommen, das am 12.07.2016 unterzeichnet wurde und ab dem 01.08.2016 in Kraft tritt, soll den Datenschutz für die EU-Bürger erhöhen und den transatlantischen Datenverkehr für Online-Händlern aus rechtlicher Sicht vereinfachen. Im Gegensatz zu Safe Harbor soll es genauere Vorgaben zum Schutz personenbezogener Daten enthalten. Hierbei sind folgende Punkte besonders hervorzuheben:

• Zertifizierungsprozess: US-Unternehmen müssen einen Zertifizierungsprozess durchlaufen, der vom US-Handelsministerium kontrolliert wird. Der Prozess soll transparent sein und die Liste der zertifizierten Unternehmen wird im Internet abrufbar sein.

• Sanktionen: Die US-Unternehmen sollen stärker überwacht und in die Pflicht genommen werden. Bei einem Verstoß gegen die Einhaltung der Vereinbarungen, die sich aus der Zertifizierung ergeben, drohen Sanktionen. Bei mehrmaligen Verstößen sollen die Unternehmen von der Privacy Shield-Liste gestrichen werden.

• US-Ombudsmann: EU-Bürger sollen zudem einen effektiveren Rechtsschutz erhalten. Bei dem Verdacht auf Missbrauch ihrer Daten sollen sie sich bei einem unabhängigen US-Ombudsmann beschweren können. Bei etwaigen Verstößen gegen Privacy Shield informiert dieser die US-Regierung. Sie können sich auch direkt bei dem entsprechenden Unternehmen beschweren, dass innerhalb von 45 Tagen auf die Beschwerden reagieren muss.

• Daten löschen: Die Daten von EU-Bürgern müssen gelöscht werden, wenn sie nicht mehr zum ursprünglich vereinbarten Zweck verwendet werden.

• Datenaustausch: Gibt ein US-Unternehmen, das sich zum Privacy Shield-Abkommen bekannt hat, Daten an andere Firmen ab, müssen sich auch diese Firmen vertraglich verpflichten, die Vorgaben des Abkommens einzuhalten.

• Zugriff der Nachrichtendienste: Der massenhafte Zugriff der US-Ermittlungsbehörden auf personenbezogene Daten europäischer Bürger soll so gut es geht eingeschränkt werden. Nur in dringenden Fällen, bei denen die nationale Sicherheit gefährdet ist, soll weiterhin ein Zugriff auf die Daten möglich sein. So wurde es der EU-Kommission zumindest schriftlich zugesichert.

Die Meinungen zu dem neuen Abkommen für den transatlantischen Datenverkehr gehen stark auseinander. Der Bundesverband E-Commerce (bevh) begrüßt Privacy Shield: „E-Commerce steht für weltweiten Wettbewerb. Die Branche ist auf unbürokratische, zugleich aber sichere und rechtlich belastbare Möglichkeiten zum internationalen Datenaustausch existenziell angewiesen“, erläutert Christoph Wenk-Fischer, Hauptgeschäftsführer des bevh. „Dass die seit Monaten andauernde Hängepartie nun ein Ende findet, begrüßt die deutsche E-Commerce-Branche ausdrücklich. Wir hoffen, dass sich der neue Rechtsrahmen als sicher erweist.“

Doch es gibt auch viele Gegenstimmen. Verschiedene Seiten kritisieren das Ergebnis als unzureichend. Die Bundesbeauftragte für Datenschutz und Informationsfreiheit, Andrea Voßhoff, merkt an, dass sich erst in Zukunft zeigen wird, ob das Abkommen seinen Namen verdient oder ob es an entscheidenden Stellen zu löchrig ist. Hierbei geht es insbesondere um die Massenüberwachung von EU-Bürgern seitens der US-Geheimdienste. Auch die Artikel 29 Datenschutzgruppe, ein unabhängiges Beratungsgremium der Europäischen Kommission, glaubt nicht an einen langfristigen Rechtsschutz für Verbraucher und Händler. Eine abschließende Prüfung der europäischen Datenschutzbehörde steht noch aus. Datenschützer haben aber bereits angekündigt, Privacy Shield einer gerichtlichen Prüfung durch den EuGH unterziehen zu wollen.

Erhebung und Weitergabe personenbezogener Daten in Deutschland

Der Schutz und Umgang mit personenbezogenen Daten ist in Deutschland heilig. Die Angst der Verbraucher vor einer unsachgemäßen Verwendung und Weitergabe ihrer Daten ist groß. Dazu tragen nicht zuletzt Skandale rund um die NSA-Affäre und Diskussionen über fragwürdige Datenschutzbestimmungen amerikanischer Big Player wie Facebook und Google bei. Das Bundesdatenschutzgesetz regelt die Verwendung, also die Erhebung, Verarbeitung und Speicherung personenbezogener Daten (§ 4 Absatz 1 BDSG), in Deutschland. Grundsätzlich ist eine Verwendung der Daten nur erlaubt, wenn der Betroffene seine Einwilligung gibt oder Gesetze es erlauben. Der Transfer der Daten ins Ausland ist in EU-Länder oder in Staaten mit einem vergleichbaren Datenschutzstandard gestattet. Die USA gehören bisher nicht zu den Staaten, die diesen Standard erfüllen. Das gekippte Safe Harbor-Abkommen, dass im Jahre 2000 zwischen der EU und den USA ausgehandelt wurde, gestattete den Transfer von Daten an US-Unternehmen oder das Speichern von Daten auf US-Servern unter bestimmten Voraussetzungen. Genauso wird es künftig das US Privacy Shield-Abkommen tun.

Safe-Harbor-Abkommen durch Europäischen Gerichtshof gekippt

15 Jahre lang sicherte das Safe-Harbor-Abkommen den Transfer personenbezogener Daten zwischen den USA und der EU und ermöglichte damit in vielen Bereichen die Zusammenarbeit. Im Oktober 2015 hat der EuGH das Safe-Harbor-Abkommen für unwirksam erklärt. Seit dem 1. Februar 2016 sind Datenübertragungen auf Basis von Safe Harbor damit offiziell nicht mehr rechtmäßig. Der EuGH und viele Datenschützer waren sich einig, dass die Bestimmungen nicht ausreichen, um die Daten europäischer Bürger hinreichend zu schützen. Die Selbstverpflichtung amerikanischer Firmen sich den europäischen Datenschutzstandards zu unterwerfen, wurde häufig nicht eingehalten und auch nicht kontrolliert. Zudem fehlen in den USA nach wie vor entsprechende Gesetze, um den Zugriff der US-Nachrichtendienste auf Daten, die bei US-Unternehmen gespeichert sind, zu verhindern. Dies ändert sich auch mit dem Privacy-Shield-Abkommen nicht.

Zwischenzeitliche Lösungen für betroffene Online-Händler

Das Urteil des EuGHs sorgte für viel Unsicherheit im Online-Handel. Es fehlte eine klare Rechtsgrundlage für den Transfer von personenbezogenen Daten in die USA. Die Entscheidung des EuGHs hatte Konsequenzen für alle Unternehmen, die personenbezogene Daten auf Servern in den USA speichern oder zeitweise auf diese übertragen haben. Auch deutsche Unternehmen, die mit amerikanischen Dienstleistern zusammenarbeiteten, etwa Shopsystem-Anbietern oder Anbietern von Email-Marketing-Tools, waren betroffen. Bei der Verwendung von vielen Cloud-Diensten, Website-Analysetools oder Social Media-Plugins, wie dem Facebook Like-Button, kommt es zu einer Übertragung entsprechender personenbezogener Daten. Dazu zählt auch die IP-Adresse. Individuelle Vereinbarungen, wie EU-Standardverträge und Binding Corporate Rules, ersetzten in den vergangenen Monaten das Safe-Harbor-Abkommen. Firmen, die ohne datenschutzkonforme Verträge und Vereinbarungen Daten mit den USA austauschten, riskierten Bußgelder von bis zu 300.000 Euro. Das Privacy Shield-Abkommen soll wieder für klare Regeln, weniger Bürokratie und mehr Rechtssicherheit sorgen.

Fazit: Think global, host local

Wenn Sie also eine langfristige Kooperation mit einem amerikanischen Unternehmen anstreben, ist es sinnvoll, die EU-Standardverträge zusätzlich abzuschließen. Ob das neue Abkommen ein angemessenes Datenschutzniveau herstellen kann, wird die Zukunft zeigen. Grundsätzlich ist es aber ein Schritt in die richtige Richtung. Und die Ungewissheit hat auch ihr Gutes: Immer mehr Firmen setzen auf eine regionale Datenspeicherung in deutschen oder europäischen Rechenzentren. „Die Entscheidung des obersten europäischen Gerichts zur Unwirksamkeit von Safe Harbor hat bei vielen Händlern zu einem Umdenken geführt“, berichtet Sebastian Schulz, Leiter Datenschutz des bevh. „Nach dem ersten Schock wurde vielen schnell klar, dass eine Datenhaltung innerhalb der EU große Vorzüge mit sich bringen kann.“