Datenschutzabkommen zwischen EU und USA – ein Update

Privacy Shield - das Ringen um den Safe Harbor Nachfolger

Im Februar 2016 wurde bekannt, dass sich die Europäische Union und die USA auf ein neues Abkommen einigen konnten. Dieses Abkommen, mit dem Namen Privacy Shield, wurde anschließend zur Überprüfung von der Artikel-29-Datenschutzgruppe, das unabhängige Beratungsgremium der Europäischen Kommission zu Datenschutzfragen, untersucht. Nach zwei Monaten intensiver Evaluierung veröffentlichte diese Arbeitsgruppe ihr Statement.  

Das ultimative DSGVO Quiz Wenn Sie sich fragen, ob ihr Unternehmen DSGVO-konform ist, dann ist dieses Quiz genau das Richtige für Sie: Quiz starten

Sie bestätigten im Wesentlichen die angekündigten Verbesserungen gegenüber Safe Harbor, merken aber an, dass an einigen Stellen noch offene Fragen bestünden, die es noch zu beantworten bzw. nachzubessern gilt. Einige dieser Fragen betreffen die Komplexität der Vereinbarung sowie das Fehlen von geeigneten Schutzmaßnahmen gegenüber der Massendatensammlung durch US-Überwachungsprogramme. Zwar sicherte die US-Regierung im Vorfeld zu, dass ein Datenzugriff von Behörden nur in engen Grenzen erfolgen werde, doch diese Zusicherung reichen nach Meinung der Datenschutzgruppe nicht aus. Auch kritisiert das Gremium die Schwierigkeit für EU-Bürger, Einspruch gegen die Datenverarbeitungspraxis einzelner US-Unternehmen zu erheben. Sie fordern, EU-Bürgern die gleichen Rechte wie US-Bürgern einzuräumen.

Nach einigen Anpassungen am Abkommensentwurf beschloss die Europäische Kommission am 12. Juli 2016, dass die enthaltenen Vorgaben dem Datenschutzniveau der Europäischen Union nun entspräche und dieses angewendet werden kann. Mit dieser Entscheidung ersetzt Privacy Shield offiziell Safe Harbor. In der offiziellen Erklärung der Europäischen Kommission heißt es, dass dieser neue Rahmen die Grundrechte der EU-Bürger in Bezug auf die Datenübertragung in die USA ausreichend schütze. Damit unterscheidet sich Privacy Shield grundlegend vom Vorgänger. Es nähme die datenverarbeitenden Unternehmen stärker in die Pflicht und stelle sicher, dass die erarbeiteten Vorschläge tatsächlich eingehalten werden. Durch stärkere Beschränkungen soll eine willkürliche Massenüberwachung von EU-Bürgern durch US-Behörden fortan ausgeschlossen sein. Gleichzeitig soll Unternehmen die Rechtssicherheit gegeben werden, persönliche Daten von EU-Bürgern in die USA zu übertragen.

Nichtsdestotrotz will die Artikel-29-Datenschutzgruppe eine abschließende Beurteilung des Abkommens nach der Verabschiedung der neuen Datenschutzgesetze im Jahr 2018 treffen, mit der Begründung, dass Privacy Shield auch den neueren Anforderungen genügen muss, was zum aktuellen Zeitpunkt noch nicht klar sein könne

Wie geht es weiter?

Mit der Ratifizierung stehen Unternehmen nun drei Möglichkeiten für den transatlantischen Datenverkehr zur Verfügung:

(1) Standard Contractual Clauses (2) Binding Corporate Rules (3) Privacy Shield

Doch welche Methode ist wann die bevorzugte Variante? Nicht-EU-Unternehmen, vor allem US-Unternehmen, integrieren bereits Datenschutzbestimmungen im Sinne von Option (1) und (2) in ihre Verträge. Um diese Verfahren jedoch rechtssicher nutzen zu können, sind US-Unternehmen angehalten, die gleichen Datenschutzstandards wie EU-Unternehmen anzuwenden. Das gilt sowohl für Verträge mit anderen Unternehmen als auch mit Kunden, die die Dienste nutzen möchten. Allerdings werden diese beiden Verfahren nicht immer auf die gleiche Art und Weise angewendet. In der Praxis haben die Kunden nicht immer das gleiche Maß an Sicherheit, wenn sie die Dienste von Nicht-EU-Unternehmen nutzen. Ihnen wird daher geraten, die jeweiligen Datenschutzvereinbarungen genau zu prüfen, um deren Sicherheitsniveau zu bestimmen.

Trotz der verschiedenen Möglichkeiten ist auf beiden Seiten des Atlantiks das erklärte Ziel, Privacy Shield als Best Practise zu etablieren. Nach Verständnis der EU und der US-Regierung ist es das beste Verfahren, um Datenübertragungen zu regulieren. Dennoch herrscht nach wie vor Skepsis in Bezug auf den ausreichenden Schutz der persönlichen Daten. Diese Skepsis zu dezimieren, wird eine der wichtigsten Aufgaben in den kommenden Monaten sein.  

US-Unternehmen sind seit 1. August 2016 in der Lage, Ihre Datenschutzstandards mittels Privacy Shield zu akkreditieren. Für EU-Unternehmen steht diese Möglichkeit bislang noch nicht bereit. Bevor auch sie das neue Abkommen anwenden können, müssen die EU-Mitgliedsländer dieses in ihr eigenes Recht übertragen. Dazu haben dsie bis 6. Mai 2018 Zeit. Bis dahin stehen EU-Unternehmen lediglich Option (1) und (2) zur Verfügung.

Ihre Vorteile als Mailjet Kunde

Wenn Sie Mailjet als E-Mail-Marketing-Provider nutzen, müssen Sie sich um all das keine Sorgen machen. Nicht nur halten wir uns strikt an die Datenschutzrichtlinie 95/46/EG. Auch befinden sich alle unsere Server in Europa. Das heißt konkret, dass keine Ihrer bei Mailjet hinterlegten Daten den europäischen Kontent verlassen. Sie können die weitere Entwicklung des Privacy Shield Abkommens in Ruhe verfolgen und müssen sich um Ihre Daten oder mögliche Abmahnungen aufgrund nicht rechtskonformer Datenübertragung keine Sorgen machen.

Sie haben Fragen zum Thema Privacy Shield? Kontaktieren Sie uns und diskutieren Sie mit uns auf Facebook.