EU-U.S. Privacy Shield Agreement Released

Schnell lesen

Die Europäische Kommission und das US-Handelsministerium haben Entwürfe für Dokumente veröffentlicht, die das neue Datenschutzschild bilden werden, um den grenzüberschreitenden Transfer personenbezogener Daten zwischen der EU und den Vereinigten Staaten zu ermöglichen.
Dieses Problem betrifft alle US-Unternehmen, die personenbezogene Daten zwischen der EU und den Vereinigten Staaten übertragen.
Der Rahmen muss noch von den Datenschutzbehörden der 28 EU-Mitgliedstaaten genehmigt werden.
Der vorgeschlagene Rahmen umfasst folgende Merkmale:
- Unternehmen müssen durch strengere und detailliertere Datenschutzrichtlinien mehr Transparenz hinsichtlich ihrer Praktiken zur Datenerhebung, -nutzung und -weitergabe schaffen.
- Unternehmen, die mit Personaldaten (Mitarbeiterdaten) umgehen, müssen sich zur Zusammenarbeit und Einhaltung der Vorschriften der EU-Datenschutzbehörden (DPAs) verpflichten.
- Unternehmen, die personenbezogene Daten an Drittanbieter übertragen, sollten weiterhin die volle Verantwortung für den ordnungsgemäßen Umgang mit personenbezogenen Daten tragen, eine angemessene Sorgfaltsprüfung hinsichtlich ihres Dienstleisters durchführen und etwaige Mängel ihrer Dienstleister im Zusammenhang mit dem Umgang mit personenbezogenen Daten ordnungsgemäß überwachen und beheben.
- Einzelpersonen haben das Recht, eine Beschwerde hinsichtlich der Verarbeitung ihrer personenbezogenen Daten einzureichen, auf die das Unternehmen innerhalb von 45 Tagen reagieren muss.
- Unternehmen müssen ohne Kosten für den Einzelnen einen alternativen Streitbeilegungsmechanismus für die Beilegung von Beschwerden bereitstellen.
- Die Federal Trade Commission (FTC) hat sich zu einer konsequenten Durchsetzung des Privacy-Shield-Rahmens verpflichtet, einschließlich der Entgegennahme von Beschwerden, die von EU-Datenschutzbehörden, dem Handelsministerium, Selbstregulierungsgremien für den Datenschutz und alternativen Streitbeilegungsstellen weitergeleitet werden.
- EU-Bürger können Rechtsmittel durch private Klagen vor US-Bundesstaatsgerichten einlegen (z. B. wegen falscher Angaben und ähnlicher Ansprüche).
- Unternehmen müssen sich zu einem verbindlichen Schiedsverfahren vor dem „Privacy Shield Panel“ verpflichten, falls einzelne Beschwerden nicht durch die alternativen Streitbeilegungsverfahren der Unternehmen oder andere Durchsetzungsmechanismen beigelegt werden konnten.
- Der Genehmigungsprozess wird nun an die Datenschutzbehörden der EU-Mitgliedstaaten weitergeleitet.
- Musterverträge und verbindliche Unternehmensregeln sind derzeit nach wie vor die einzigen von der EU genehmigten Methoden für die Datenübermittlung.
- Unternehmen sollten sich über den aktuellen Vorschlag zum Datenschutzschild informieren und die weiteren Entwicklungen weiterhin genau beobachten, damit sie im Falle einer endgültigen Verabschiedung des Datenschutzschilds schnell handeln können.

Am 29. Februar 2016 veröffentlichte die Europäische Kommission den vollständigen Text des neuen EU-US-Datenschutzschild-Rahmenwerks, das den Transfer personenbezogener Daten zwischen der Europäischen Union und den Vereinigten Staaten regeln wird. Die Dokumente, in denen das Datenschutzschild-Rahmenwerk angekündigt und dargelegt wird, finden Sie hier. Die EU und das US-Handelsministerium hatten zuvor bekannt gegeben, dass nach dem Urteil des Gerichtshofs der Europäischen Union (EuGH) vom Oktober 2015, mit dem das bestehende Safe-Harbor-Abkommen zwischen den USA und der EU für ungültig erklärt wurde, ein neues Rahmenwerk für die Übermittlung personenbezogener Daten von Unternehmen in der EU an Unternehmen in den USA vereinbart worden war. Die von der Europäischen Kommission herausgegebene Angemessenheitsentscheidung befindet sich zwar noch im Entwurfsstadium, schlägt jedoch neue Beschränkungen für die Erhebung und Verwendung personenbezogener Daten durch die US-Regierung vor und könnte US-Organisationen, die das neue Rahmenwerk für grenzüberschreitende Datenströme nutzen möchten, weitere Leitlinien an die Hand geben.

Impact to Businesses

Auch wenn das Privacy Shield-Rahmenwerk noch nicht endgültig festgelegt ist, handelt es sich hierbei um einen wichtigen Schritt in diese Richtung. Sollte das Privacy Shield letztendlich von allen erforderlichen Parteien angenommen werden, würde dies die derzeitige Unsicherheit beseitigen, die durch die Ungültigkeitserklärung des Safe Harbor-Rahmenwerks entstanden ist. Dementsprechend sollten Unternehmen bereits jetzt damit beginnen, die relevanten Interessengruppen über die vorgeschlagenen Anforderungen des Privacy Shield zu informieren, damit sie im Falle einer Genehmigung in der gleichen oder einer im Wesentlichen gleichen Form wie derzeit vorgeschlagen schnell handeln können, sollten sie sich für eine Selbstzertifizierung im Rahmen des Privacy Shield entscheiden. Ein Abwarten würde die endgültige Entscheidung der Unternehmen und die Umsetzungsmaßnahmen der Unternehmen, die das Privacy Shield nutzen möchten, nur verzögern.

Datenschutzschild-Anforderungen für US-Unternehmen

Das Privacy Shield legt US-Unternehmen strengere Verpflichtungen zum Schutz der personenbezogenen Daten von EU-Bürgern auf. Unternehmen müssen die Einhaltung der im Privacy Shield festgelegten Datenschutzgrundsätze durch eine vom Handelsministerium geführte öffentliche Privacy-Shield-Liste selbst zertifizieren und müssen die Einhaltung jährlich neu zertifizieren, um sich weiterhin auf das Privacy Shield für den grenzüberschreitenden Datenverkehr zwischen Europa und den Vereinigten Staaten verlassen zu können. Die Datenschutzgrundsätze verlangen von den Unternehmen die folgenden positiven Maßnahmen:

Beschwerden. Im Falle einer Beschwerde einer Person über den Umgang mit ihren personenbezogenen Daten durch ein Unternehmen muss das Unternehmen der Person innerhalb von 45 Tagen antworten, unabhängig davon, ob die Beschwerde direkt von der Person oder über das Handelsministerium eingegangen ist.
Streitbeilegung. Unternehmen müssen Einzelpersonen Zugang zu einer kostenlosen, unabhängigen alternativen Streitbeilegungsstelle gewähren, um Streitigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten beizulegen. Daher müssen Unternehmen die Kosten für alternative Streitbeilegungsverfahren, wie unverbindliche Mediation und verbindliche Schiedsverfahren, tragen. Das Handelsministerium überprüft die Registrierung des Unternehmens bei der von ihm veröffentlichten Streitbeilegungsstelle. Darüber hinaus müssen Unternehmen zustimmen, einen Rechtsbehelf als „letztes Mittel” in Form eines verbindlichen Schiedsverfahrens durch das „Privacy Shield Panel” einzureichen, das sich aus einer Gruppe von Schiedsrichtern zusammensetzt, die vom Handelsministerium und der Europäischen Kommission benannt werden.
Personaldaten. Unternehmen, die Personaldaten von EU-Bürgern verarbeiten, müssen sich außerdem zur Einhaltung der Empfehlungen der zuständigen nationalen Datenschutzbehörde (DPA) verpflichten. Dies hat zur Folge, dass US-Unternehmen faktisch den Vorschriften der EU-Datenschutzbehörden unterliegen. Wie weiter unten näher erläutert, werden Streitigkeiten, die nicht durch Verhandlungen beigelegt werden können, im Rahmen eines kostenlosen, verbindlichen Schiedsverfahrens beigelegt.
Datenschutzrichtlinien. Die Datenschutzrichtlinie eines Unternehmens muss Einzelpersonen über die Art der erfassten Daten, den Umgang mit den Daten und verfügbare Opt-out-Mechanismen informieren. Unternehmen mit Online-Datenschutzrichtlinien müssen außerdem Folgendes angeben:
- Eine Verpflichtungserklärung, dass das Unternehmen die Datenschutzbestimmungen einhalten wird
- Eine Verpflichtung, nicht mehr personenbezogene Daten zu erheben, als für die Erbringung der Dienstleistungen erforderlich sind.
- Eine Kontaktstelle innerhalb oder außerhalb der Organisation, die Beschwerden von Einzelpersonen bearbeitet.
- Hyperlinks zur Website des Handelsministeriums zum Datenschutzschild und zur Website oder zum Beschwerdeformular der ausgewählten unabhängigen Streitbeilegungsstelle
Weitergabe (Weiterleitung) an Drittanbieter. Wenn ein Unternehmen personenbezogene Daten an Drittanbieter weitergibt, bleibt das Unternehmen unabhängig von vertraglichen Verpflichtungen in vollem Umfang haftbar und verantwortlich für die personenbezogenen Daten, die sich in den Händen von Unterauftragnehmern befinden. Ein Unternehmen darf nur dann an Weiterübermittlungen teilnehmen, wenn diese Übermittlungen angemessen begrenzt sind und wenn vertragliche oder andere Mechanismen das gleiche Schutzniveau gewährleisten, das durch die Datenschutzgrundsätze garantiert wird. Das Privacy-Shield-Rahmenwerk verlangt von Unternehmen außerdem, dass sie mit der gebotenen Sorgfalt sicherstellen, dass Auftragnehmer personenbezogene Daten in Übereinstimmung mit den Datenschutzgrundsätzen verarbeiten, dass sie Maßnahmen ergreifen, um die unbefugte Verarbeitung personenbezogener Daten durch Auftragnehmer nach Benachrichtigung zu unterbinden und zu beheben, und dass sie dem Handelsministerium auf Anfrage eine Zusammenfassung oder Kopie ihrer vertraglichen Datenschutzbestimmungen mit einem Auftragnehmer zur Verfügung stellen.

Rechtsmittel für Einzelpersonen

Zusätzlich zur Einreichung einer Beschwerde beim Unternehmen selbst und über das kostenlose alternative Streitbeilegungsverfahren können geschädigte Personen bei der zuständigen Datenschutzbehörde Rechtsmittel einlegen, die solche Beschwerden an das Handelsministerium weiterleitet. Ebenso muss die Nichteinhaltung der Entscheidung der unabhängigen Streitbeilegungsstelle durch ein Unternehmen von dieser Stelle dem Handelsministerium und der Federal Trade Commission oder einem zuständigen Gericht gemeldet werden. Im Falle einer Weiterleitung an das Handelsministerium durch eine Datenschutzbehörde wird das Ministerium die Beschwerden innerhalb von 90 Tagen klären. Ist dies nicht möglich, kann die Beschwerde alternativ an die FTC zur Untersuchung und Klärung weitergeleitet werden. Die FTC wird die Untersuchung und Klärung von Beschwerden über Verstöße, die sie vom Handelsministerium, von unabhängigen Streitbeilegungsstellen und von Datenschutzbehörden erhält, vorrangig behandeln und kann die Einhaltung der Vorschriften durch Einverständniserklärungen durchsetzen.

Als „letztes Mittel“ steht ein verbindliches Schiedsverfahren durch ein Privacy Shield Panel zur Verfügung, das „individuelle, nicht monetäre, angemessene Abhilfemaßnahmen“ auferlegen kann, die erforderlich sind, um die Nichteinhaltung der Datenschutzgrundsätze durch ein Unternehmen zu beheben. Unternehmen, die die Einhaltung des Datenschutzschilds zertifizieren, müssen sich an allen von einer Person eingeleiteten Rechtsbehelfsverfahren beteiligen und auf Anfragen nach Informationen zur Einhaltung reagieren, die über solche Streitbeilegungsmechanismen gestellt werden, einschließlich Anfragen des Handelsministeriums, der FTC, unabhängiger Streitbeilegungsstellen und der Datenschutzbehörden.

Schließlich können Einzelpersonen, wenn ein Unternehmen seiner Verpflichtung zur Einhaltung der Privacy-Shield-Grundsätze und seiner veröffentlichten Datenschutzrichtlinie nicht nachkommt, auch Rechtsbehelfe nach US-amerikanischem Recht in Anspruch nehmen, beispielsweise solche, die Rechtsbehelfe nach dem Deliktsrecht, bei falschen Angaben, unlauteren oder irreführenden Handlungen oder Praktiken sowie bei Vertragsverletzungen vorsehen.

Überwachung durch die US-Regierung soll im Rahmen eines Regelwerks eingeschränkt werden

Das Safe-Harbor-Abkommen zwischen den USA und der EU wurde aufgrund der Bedenken der EU hinsichtlich des Massen-Datenerfassungsprogramms der National Security Administration, das 2013 von Edward Snowden aufgedeckt wurde, für ungültig erklärt. Infolgedessen war eines der Hauptziele des Privacy-Shield-Abkommens, die Überwachung von EU-Bürgern durch die US-Regierung einzuschränken. Das Privacy Shield erlaubt die Erhebung personenbezogener Daten zu Zwecken der nationalen Sicherheit nur dann, wenn die Erhebung verhältnismäßig und in ihrem Umfang auf die Bewältigung des jeweiligen Sicherheitsrisikos beschränkt ist und gegen das Recht des Einzelnen auf Privatsphäre abgewogen wird. Das Privacy Shield verbietet nicht die massenhafte Erhebung personenbezogener Daten, verlangt jedoch, dass solche Methoden nur dann angewendet werden dürfen, wenn eine gezielte Erhebung „aus technischen oder betrieblichen Gründen“ nicht möglich ist. Nach dem neuen Rahmenwerk können EU-Bürger, die Rechtsbehelf gegen die Erhebung und Verwendung ihrer personenbezogenen Daten durch die US-Regierung einlegen möchten, sich direkt an einen neuen Ombudsmann im Außenministerium wenden. Der Ombudsmann ist unabhängig von den nationalen Sicherheitsbehörden der USA und verpflichtet, auf entsprechende Beschwerden oder andere Informationsanfragen von EU-Bürgern zu reagieren.

Darüber hinaus unterzeichnete Präsident Obama am 24. Februar 2016 den Judicial Redress Act, der es EU-Bürgern letztendlich ermöglichen wird, bei mutmaßlichen Verstößen der US-Bundesregierung vor US-Gerichten Rechtsmittel einzulegen. EU-Bürger (und Bürger anderer Länder/Organisationen, die in Zukunft vom US-Justizministerium benannt werden) haben das Recht, gemäß dem Privacy Act gegen bestimmte US-Behörden wegen unsachgemäßer Verarbeitung personenbezogener Daten in Straf- oder Terrorismusermittlungen, einschließlich der unsachgemäßen Offenlegung ihrer Daten, Rechtsmittel einzulegen. Mögliche Rechtsmittel sind Unterlassungsklagen und Schadenersatzzahlungen.

Nächste Schritte

Die Artikel-29-Datenschutzgruppe, eine Gruppe von Regulierungsbehörden, die die 28 EU-Mitgliedstaaten vertreten, muss ihre Zustimmung zum Datenschutzschild erteilen, bevor dieser der Europäischen Kommission zur Feststellung der „Angemessenheit” vorgelegt werden kann, wie dies gemäß der EU-Datenschutzrichtlinie (und gemäß der bevorstehenden Datenschutz-Grundverordnung) erforderlich ist. Eine Angemessenheitsfeststellung durch die Kommission würde zwar bedeuten, dass die Schutzmaßnahmen des neuen Rahmens den EU-Datenschutzbestimmungen entsprechen, doch wurde bereits erhebliche Kritik an dem vorgeschlagenen Rahmen laut.

Mitglieder des Europäischen Parlaments äußerten sich skeptisch, ob das neue Abkommen die Privatsphäre der EU-Bürger besser schützen kann als Safe Harbor und einer gerichtlichen Überprüfung standhalten wird, während Max Schrems, der australische Datenschutzaktivist, der die Beschwerde eingereicht hatte, die zur Ungültigkeit des Safe-Harbor-Rahmens führte, und Fanny Hidvegi, International Privacy Fellow beim Electronic Privacy Information Center (EPIC), sowie andere Aktivistengruppen das Privacy Shield offen kritisierten und ihre Frustration über die ihrer Meinung nach ungelösten Kernprobleme des Rahmenwerks zum Ausdruck brachten.

Daher könnte das Privacy Shield vor einer schwierigen Aufgabe stehen, bevor es für die Übermittlung personenbezogener Daten herangezogen werden kann, und es ist für Unternehmen ratsam, sich auf dem Laufenden zu halten, aber vorsichtig zu bleiben, während die Kritik am Privacy Shield vor seiner Annahme durch die Europäische Kommission behandelt wird. Darüber hinaus sollten sich Unternehmen bewusst sein, dass der Gerichtshof entschieden hat, dass nationale Datenschutzbehörden eine unabhängige Aufsicht ausüben können, um die Angemessenheit des Datenschutzes durch Datenverantwortliche und Datenverarbeiter zu bestimmen. Selbst wenn das Datenschutzschild letztendlich angenommen wird, können US-Unternehmen daher weiterhin einer zusätzlichen Kontrolle hinsichtlich ihrer Datenerhebungs- und -verarbeitungsaktivitäten durch die Datenschutzbehörden verschiedener Mitgliedstaaten unterliegen und zusätzlichen Anforderungen unterworfen werden, „einschließlich Abhilfemaßnahmen oder Ausgleichsmaßnahmen zugunsten von Personen, die von einer Nichteinhaltung der Grundsätze betroffen sind“. Dieser Prozess hat gezeigt, dass die nationalen Datenschutzbehörden sehr unterschiedliche Standpunkte zum Datenschutz vertreten, was dazu führen könnte, dass gegen dasselbe US-Unternehmen sehr unterschiedliche, gegensätzliche Abhilfemaßnahmen ergriffen werden, einschließlich der Möglichkeit, Datenübermittlungen innerhalb ihres Mitgliedstaats separat zu untersuchen und/oder zu blockieren.

Foley wird die Entwicklungen bei der Verabschiedung, Umsetzung und laufenden Überprüfung des Privacy Shield weiterhin verfolgen und fortlaufend Analysen zu bewährten Verfahren für die Einhaltung des Rahmenwerks und die Wahrnehmung der damit verbundenen Verantwortlichkeiten bereitstellen.

———————————————————————————————

Legal News ist Teil unseres kontinuierlichen Engagements, unseren Mandanten und Kollegen rechtliche Einblicke zu vermitteln. Wenn Sie Fragen zu diesen Themen haben oder diese weiter diskutieren möchten, wenden Sie sich bitte an Ihren Foley-Anwalt oder an die folgenden Personen:

Chanley Howell
Partner
Jacksonville, Florida
904.359.8745
[email protected]

James Kalyvas
Partner
Los Angeles, Kalifornien
213.972.4542
[email protected]

Eileen Ridley
Partner
San Francisco, Kalifornien
415.438.6469
[email protected]

Aaron Tantleff
Partner
Chicago, Illinois
312.832.4367
[email protected]

Sophie Lignier
Of Counsel
Brüssel, Belgien
322.787.9700
foley.com/sophie_lignier

Steven Millendorf
Associate
San Diego, Kalifornien
858.847.6737
[email protected]

Elizabeth Mitro
Associate
Boston, Massachusetts
617.502.3287
[email protected]

Ein Mann mittleren Alters mit Bart und Schnurrbart, der einen dunklen Anzug, ein weißes Hemd und eine blaue Krawatte trägt, steht vor dem Hintergrund einer unscharfen Anwaltskanzlei und lächelt in die Kamera.

[email protected]

Jacksonville 904.359.8745

Ein Mann im grauen Nadelstreifenanzug, weißem Hemd und rot gemusterter Krawatte lächelt, während er im gut beleuchteten Flur einer Anwaltskanzlei steht.

[email protected]

Los Angeles 213.972.4542

Eine Person mit kurzen grauen Haaren, die einen schwarzen Blazer und ein rotes Hemd trägt, steht in einer modernen Anwaltskanzlei und lächelt in die Kamera.

[email protected]

San Francisco 415.438.6469

[email protected]

Chicago 312.832.4367

Beliebte Suchanfragen

EU-US-Datenschutzschild-Abkommen veröffentlicht

Autor(en)

Chanley T. Howell

James R. Kalyvas

Eileen R. Ridley

Aaron K. Tantleff

Verwandte Einblicke

Den KI-Vorteil schützen: Warum Patente ein entscheidendes Instrument für Wachstum und Risikomanagement für digitale Gesundheitsplattformen sind

Internationale Organisation für Gesundheit und Sicherheit von Konsumgütern – Jahrestagung und Schulungssymposium 2026

2026 CPG-Rechtsforum