klar

Privacy Shield

EU-U.S.-Privacy Shield - Datenschutzgrundsätze

In den USA gibt es keinen „generellen" Datenschutz, wie es in der EU der Fall ist. Stattdessen bestehen bereichsspezifische Regelungen (z.B. für die Kreditwirtschaft, für Telekommunikationsunternehmen etc.). Die Europäische Kommission und das U.S.-Handelsministerium haben sich - sozusagen als Kompromiss - auf Grundsätze zum Datenschutz („privacy principles") geeinigt, zu deren Einhaltung sich alle U.S.-Unternehmen, unabhängig von dem konkreten Verarbeitungszusammenhang, verpflichten müssen, wenn sie auf Grundlage des Privacy Shields personenbezogene Daten (im Folgenden: „Daten") aus der EU empfangen und verarbeiten wollen. Die bereichsspezifischen U.S.-Regelungen bleiben daneben vollständig anwendbar. Es handelt sich um eine Selbstverpflichtung, d.h. vor Aufnahme in die Privacy Shield-Liste wird z.B. das faktische Bestehen „angemessener und geeigneter Maßnahmen, um die Daten vor Verlust, Missbrauch und unbefugtem Zugriff" zu schützen (vgl. unten zu „Sicherheit") nicht von den Behörden überprüft.

Was bedeuten die Datenschutzgrundsätze im Einzelnen?

Informationspflicht

Die Regularien des Privacy Shield beinhalten eine umfassende Informationspflicht des Betroffenen über die Verarbeitung der übermittelten Daten. Die Information darüber hat jedenfalls zu erfolgen, bevor das Unternehmen die Daten erstmalig an Dritte weitergibt oder sie zu einem anderen als dem ursprünglichen Erhebungszweck verwenden will.

Die Informationspflicht umfasst:

  • Teilnahme des Unternehmens am Privacy Shield (inkl. Link zur, bzw. Webadresse der Datenschutz-Liste; https://www.privacyshield.gov/welcome),
  • Angabe einer Kontaktmöglichkeit (ggf. auch in der EU) für Nachfragen oder Beschwerden,
  • Arten der verarbeiteten Daten,
  • (soweit vorhanden) Einrichtungen oder Tochterunternehmen des Unternehmens, die ebenfalls die Grundsätze einhalten,
  • Verpflichtung, die Grundsätze in Bezug auf alle aus der EU empfangenen Daten einzuhalten,
  • Zweck(e) der Datenerhebung und -verarbeitung,
  • (sofern der Fall) Kategorie und Identität von Dritten, an die Daten weitergegeben werden sollen, sowie den Zweck der Weitergabe,
  • Recht von Betroffenen, ihre Daten einzusehen,
  • Möglichkeiten für Betroffene, Verwendung und Weitergabe ihrer Daten einzuschränken,
  • dass eine und welche unabhängige Schiedsstelle für Beschwerden der Betroffenen existiert,
  • welche Ermittlungs- und Durchsetzungsbefugnisse die jeweils zuständige U.S.-Aufsichts-behörde gegenüber dem Unternehmen hat,
  • Möglichkeit für Betroffene, ggf. ein verbindliches Schiedsverfahren anzustrengen,
  • Tatsache, dass bei rechtmäßigen Anfragen von U.S.-Behörden aufgrund Bestimmungen zur nationalen Sicherheit oder der Strafverfolgung Daten diesen gegenüber offengelegt werden müssen,
  • Haftung des Unternehmens bei Weitergabe an Dritte.

Wahlmöglichkeit

Das Unternehmen muss Betroffenen eine leicht zugängliche Möglichkeit geben, der Weitergabe ihrer Daten an Dritte oder die Verwendung für andere als den ursprünglichen bzw. genehmigten Zweck zu widersprechen („Opt-out"). Die Weitergabe zu Zwecken, die sich von dem ursprünglichen bzw. genehmigten Zweck „nicht wesentlich unterscheiden" ist gestattet.

Soweit es um „sensible Daten" geht (Angaben über den Gesundheitszustand, über Rassen- oder ethnische Zugehörigkeit, über politische, religiöse oder weltanschauliche Überzeugungen, über die Mitgliedschaft in einer Gewerkschaft oder über das Sexualleben; bzw. als „sensibel" klassifiziert), braucht das Unternehmen hingegen explizit die Zustimmung der Betroffenen („opt-in").

Verantwortlichkeit für die Weitergabe

Die Weitergabe von Daten an Dritte darf nur unter Wahrung der vorgenannten Grundsätze der Informationspflicht und der Wahlmöglichkeit erfolgen. Zudem muss das Unternehmen mit dem Dritten einen entsprechenden Vertrag schließen, in dem sich der Dritte insbesondere zur Einhaltung der Grundsätze verpflichtet.

Wenn der Dritte dem Unternehmen gegenüber weisungsgebunden ist, darf das Unternehmen Daten nur begrenzt und zu bestimmten Zwecken weitergeben. Es muss prüfen, dass der Dritte wenigstens verpflichtet ist, das Schutzniveau der Grundsätze einzuhalten und sicherstellen, dass die weitergegebenen Daten dementsprechend verarbeitet werden. Weiterhin muss es den Dritten verpflichten, Unterschreitungen des Schutzniveaus zu melden, entsprechenden Hinweisen nachgehen und die Verarbeitung ggf. unterbinden. Die Datenschutzbestimmungen des Vertrags sind dem U.S.-Handelsministerium auf Verlangen vorzulegen.

Sicherheit

Unternehmen müssen angemessene und geeignete Maßnahmen ergreifen, um die von ihnen verarbeiteten Daten vor Verlust, Missbrauch und unbefugtem Zugriff, Weitergabe, Änderung und Zerstörung zu schützen.

Datenintegrität und Zweckbindung

Solange ein Unternehmen über die Daten verfügt - d.h. diese nicht endgültig löscht - muss es sicherstellen, dass diese hinreichend zuverlässig, genau, vollständig und aktuell sind. Daten dürfen nur und nur so lange gespeichert werden, wie dies mit dem Zweck für den sie erhoben wurden oder dem die Betroffenen zugestimmt haben vereinbar ist. Ausnahmen können z.B. für Zwecke des Forschung oder statistischen Analyse gelten.

Auskunftsrecht

Betroffene müssen Zugang zu den über sie bei einem Unternehmen gespeicherten Daten erhalten, und diese bei Bedarf korrigieren, ändern oder löschen lassen können. Entsprechende Anträge können u.U. als unverhältnismäßig zurückgewiesen werden.

Rechtsschutz, Durchsetzung und Haftung

Die Einhaltung der Grundsätze muss durchsetzbar und Verstöße müssen sanktionierbar sein. Hierzu müssen leicht zugängliche und kostenlose Beschwerdeverfahren für Betroffene bestehen, es müssen Kontrollmaßnahmen gegenüber den Unternehmen erfolgen und auch Sanktionen erlassen werden, wenn Unternehmen sich nicht an die Grundsätze halten.

Zum Grundsatz gehört auch, dass Unternehmen und ihre selbstgewählten unabhängigen Beschwerdestellen zeitnah auf Beschwerden und Auskunftsersuchen reagieren, sowie dass sie sich dem Schiedsverfahren vor dem Datenschutzschild-Panel stellen.

Unternehmen bleiben für unter dem Privacy Shield empfangene Daten, die sie an ihre Auftragsdatenverarbeiter weitergeben, verantwortlich. Sofern diese die Daten nicht entsprechend der Grundsätze verarbeiten, haftet grds. das Unternehmen.

Die U.S.-Federal Trade Commission und U.S.-Gerichte können bei Verstößen Anordnungen gegen Unternehmen erlassen. Bei der Federal Trade Commission besteht eine Kontaktstelle für das U.S.-Handelsministerium und die EU-Mitgliedstaaten, um Verstöße zu melden und sich auszutauschen.



Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon 0511 120-4500
Fax 0511 120-4599
E-Mail an Ansprechpartner schreiben

Stand: 06.09.2016

zum Seitenanfang
zur mobilen Ansicht wechseln