EU-US-Datenschutzschild: Grundsätze veröffentlicht
06. September 2016
Die EU-Kommission hatte 2014 Gespräche mit den amerikanischen Behörden aufgenommen, um eine Stärkung der Safe-Harbor-Regelung zu erörtern. Nach dem EuGH-Urteil zur Aufhebung von Safe-Harbor (EuGH 6. 10. 2015, C-362/14, Schrems) wurden die Gespräche intensiviert, um zu einem neuen Angemessenheitsbeschluss zu gelangen.
Die Schriftstücke, die dem vorliegenden Beschluss (vgl. Link am Ende des Artikels) beigefügt sind und auch im Bundesregister der USA veröffentlicht werden, sind das Ergebnis dieser Gespräche. Die Datenschutzgrundsätze (Anhang II) bilden zusammen mit den in den Anhängen I, III bis VII enthaltenen offiziellen Erklärungen und Zusagen verschiedener Behörden der USA den „EU-US-Datenschutzschild“.
Kommission bestätigt angemessenes Datenschutz-Niveau in den USA
Nach sorgfältiger Analyse der gängigen Praxis und offiziellen Erklärungen und Verpflichtungen in den USA ist die Kommission zu dem Schluss gelangt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Der EU-US-Datenschutzschild beruht auf einem System der Selbstzertifizierung: Amerikanische Organisationen verpflichten sich zu einem Katalog von Datenschutzgrundsätzen, die vom US-Handelsministerium herausgegeben wurden und in Anhang II des vorliegenden Beschlusses enthalten sind.
Selbstzertifizierung zur Einhaltung der Datenschutz-Grundsätze
Unbeschadet der Einhaltung innerstaatlicher Vorschriften hat der vorliegende Beschluss die Wirkung, dass die Übermittlung von Daten an Organisationen in den USA zulässig ist, wenn sich diese durch Selbstzertifizierung beim US-Handelsministerium zur Einhaltung der Grundsätze verpflichtet haben. Die Grundsätze gelten ausschließlich für die Verarbeitung personenbezogener Daten durch US-Organisationen, soweit die Verarbeitung durch diese Organisation nicht in den Anwendungsbereich des EU-Rechts fällt. Der Datenschutzschild berührt nicht die Anwendung des Unionsrechts auf die Verarbeitung personenbezogener Daten in den Mitgliedstaaten.
Ausnahmen von der Anwendung des Schutzschilds
Der Schutz der personenbezogenen Daten durch den Datenschutzschild gilt für alle Betroffenen in der EU, deren personenbezogene Daten aus der EU an selbstzertifizierte Organisationen in den USA übermittelt werden. Die Grundsätze gelten unmittelbar vom Zeitpunkt der Zertifizierung an. Eine Ausnahme bildet der Grundsatz „Verantwortlichkeit für die Weitergabe“, wenn eine Organisation dem Datenschutzschild durch Selbstzertifizierung beitritt, die bereits vorher geschäftliche Beziehungen zu Dritten unterhalten hat. Diese Organisation muss dann diese geschäftlichen Beziehungen „so schnell wie möglich“ mit den entsprechenden Datenschutzregeln in Einklang bringen. In dieser Übergangszeit muss die Organisation die Grundsätze der Informationspflicht und Wahlmöglichkeit anwenden (was dem Betroffenen in der EU ein „Opt-out“ ermöglicht) und bei der Übermittlung personenbezogener Daten an einen als Beauftragten fungierenden Dritten sicherstellen, dass Letzterer zumindest das gleiche Schutzniveau vorsieht wie die Grundsätze.
Überwachung durch US-Handelsministerium
Das System wird vom US-Handelsministerium auf der Grundlage der Zusagen verwaltet und überwacht, die in den Erklärungen des Handelsministers der USA dargelegt sind (Anhang I des vorliegenden Beschlusses).
Im Hinblick auf die Durchsetzung der Grundsätze haben die Federal Trade Commission (FTC) und das Verkehrsministerium Erklärungen abgegeben, die in Anhang IV und Anhang V des Beschlusses enthalten sind.
Weblink
(Quelle: LexisNexis Rechtsredaktion)
Autoren
Redaktion
Die LexisNexis Österreich & Compliance Praxis-Redaktion versorgt Sie regelmäßig mit aktuellen News und Informationen aus der Compliance-Welt. Unser Ziel ist es, Ihre tägliche Arbeit bestmöglich zu ...