Donnerstag, 17.03.2016
Herstellung von Elektromotoren: Wo erlaubt der Datenschutz die Daten des Produkts Online zu archivieren?

Bosch

Herstellung von Elektromotoren: Wo erlaubt der Datenschutz die Daten des Produkts Online zu archivieren?

Recht & Steuern
Datenschutz EU und USA

Privacy Shield kommt: Was das für Mittelständler bedeutet

Der Datentransfer zwischen EU und USA wird rechtlich neu geregelt. Für Mittelständler hat das erhebliche Folgen. Was genau die Änderungen beim EU-Datenschutz für Auswirkungen nach sich ziehen und wie Unternehmen vorsorgen können.

Der Entwurf für das Privacy Shield steht Ende März – aller Voraussicht nach. Privacy Shield soll das Nachfolgeabkommen zwischen der EU und den USA zu Safe Harbor werden, das der Europäische Gerichtshof (EuGH) am 06. Oktober 2015 aufgehoben hat. Die EU-Kommission will mit Privacy Shield die vom EuGH erhobenen Bedenken gegen Safe Harbor ausräumen und den transatlantischen Austausch von personenbezogenen Daten wieder auf eine rechtssichere Grundlage stellen.

Philip Kempermann von Heuking Kühn Lüer Wojtek erklärt, was es auf sich hat mit dem geplanten EU-US Privacy Shield-Abkommen, welche Unsicherheiten für Mittelständler damit verbunden sind und welche Alternativen für den Transfer personenbezogener Daten in Frage kommen.

Markt und Mittelstand: Herr Kempermann, die Europäische Kommission hat am 29. Februar den Entwurf für Privacy Shield vorgelegt – ein Abkommen, mit dem Datentransfers zwischen der EU und den USA vereinfacht werden sollen. Wie schätzen Sie die Bedeutung von Privacy Shield für mittelständische Unternehmen ein?
Philip Kempermann: Ich bezweifle stark, dass Privacy Shield für Mittelständler eine verlässliche Basis für einen einfachen Transfer von personenbezogenen Daten sein wird – zumindest nicht in absehbarer Zeit. Mittelständler sollten daher bei Privacy Shield zurückhaltend sein.

Vorsicht bei Privacy Shield

Dr. Philip Kempermann, LL.M. ist Rechtsanwalt und Partner bei Heuking Kühn Lüer Wojtek. Seine Schwerpunktgebiete sind das IT- sowie Datenschutzrecht.

Heuking Kühn Lüer Wojtek

Dr. Philip Kempermann, LL.M. ist Rechtsanwalt und Partner bei Heuking Kühn Lüer Wojtek. Seine Schwerpunktgebiete sind das IT- sowie Datenschutzrecht.

Markt und Mittelstand: Woran liegt das?
Philip Kempermann: Privacy Shield liegt derzeit als Entwurf vor. Die endgültige Entscheidung der Europäischen Kommission für oder gegen Privacy Shield soll frühestens Ende März erfolgen. Wenn es beim aktuellen Stand des Abkommens bleibt, ist es wahrscheinlich, dass Privacy Shield über kurz oder lang wie bereits das Vorgänger-Abkommen Safe Harbor vor den Europäischen Gerichtshof kommt. Und der wird den Transfer personenbezogener Daten in die USA mit Hilfe von Privacy Shield genauso kritisch prüfen wie zuvor bei Safe Harbor.

Markt und Mittelstand: Ist das das einzige Risiko bei Privacy Shield?
Philip Kempermann: Nein. Zudem besteht bei der zukünftigen Nutzung von Privacy Shield das Risiko, dass die deutschen Datenschutzbehörden bei Beschwerden von Betroffenen von ihrem Suspendierungsrecht Gebrauch machen werden, das ihnen Privacy Shield einräumt. Das heißt, dass auf Privacy Shield basierende Datentransfers im Einzelfall auch dann als unrechtmäßig angesehen werden können, wenn das Abkommen in Kraft tritt und nicht vor den EuGH kommt. Und gerade die deutschen Datenschutzaufsichtsbehörden werden sicherlich von dieser Möglichkeit Gebrauch machen, da sie ohnehin jedem Transfer von personenbezogenen Daten in die USA sehr kritisch gegenüberstehen.

Safe Harbor reicht nicht mehr

Markt und Mittelstand: Welche Auswirkungen hat das für Mittelständler?
Philip Kempermann: Mittelständler befinden sich aktuell in einer Zwickmühle. Wenn sie bisher auf Safe Harbor gesetzt haben, müssen sie jetzt zwingend handeln. Sonst riskieren sie ein beträchtliches Bußgeld: bis zu 300.000 Euro. Denn die von den Aufsichtsbehörden gesetzte Übergangsfrist für die Nutzung von Safe Harbor ist Ende Januar abgelaufen. Die Behörden gehen jetzt offensiv Unternehmen an, die noch immer – klar rechtswidrig – für ihre Transfers weiterhin auf Safe Harbor setzen. Das heißt, dass Mittelständler nicht auf die Verabschiedung von Privacy Shield warten können.

Markt und Mittelstand: Haben Mittelständler denn eine Alternative zu Privacy Shield?
Philip Kempermann: Ja, die haben sie. Mittelständler können bis auf weiteres auf die sogenannten EU-Standardvertragsklauseln zurückgreifen, wenn sie personenbezogene Daten in die USA transferieren wollen oder müssen. Diese Klauseln sind Vertragswerke für den Transfer von personenbezogenen Daten zwischen verantwortlichen Stellen, also etwa für den internen Datentransfer für das Personalmanagement oder die Beratung von Kunden. Sie können aber auch für die Beauftragung von IT-Dienstleistern genutzt werden. Die EU-Standardvertragsklauseln sichern ein angemessenes Datenschutzniveau beim Empfänger.

Datenschutz-Sicherheit durch Standardvertragsklauseln

Markt und Mittelstand: Bei den Standardvertragsklauseln herrscht Rechtssicherheit?
Philip Kempermann: Ja, zumindest bis auf weiteres. Der EuGH hat in seinem Safe Harbor Urteil sehr deutlich festgestellt, dass nur er die Beschlüsse der Kommission aufheben kann. Dies ist für Mittelständler insofern positiv, als dass die Aufsichtsbehörden die Standardvertragsklauseln nicht einfach für ungültig erklären können, sondern diese Frage zuerst vor den EuGH bringen müssten. Bis zu einer solchen Entscheidung sind die Klauseln also sicher – auch weil die Europäische Kommission klargestellt hat, an diesem Instrument festhalten zu wollen. Gleichwohl gibt es für Mittelständler eine Option, mit der sie noch besser fahren.  

Markt und Mittelstand: Wie sieht diese Option aus?
Philip Kempermann: Die Unternehmen sollten sich angesichts der Diskussion um Safe Harbor und Privacy Shield generell die Frage stellen: Kann ich meine IT-Dienstleistungen nicht auch bei einem europäischen Dienstleister in Auftrag geben, der die Daten in Europa speichert? Damit erfüllen die Unternehmen die Anforderungen des europäischen Datenschutzes. Der Zugriff von weltweiten Unternehmenseinheiten auf die in Europa gespeicherten Daten sollte nur per Fernzugriff erfolgen. Für diesen Fernzugriff sollten Unternehmen ebenfalls die Standardvertragsklauseln verwenden, da ein solcher Fernzugriff immer auch einen Transfer von personenbezogenen Daten darstellt.

Info

Privacy Shield statt Safe Harbor

Mit Privacy Shield sollen neue Verpflichtungen für den Datenschutz festgelegt werden, so genannte Privacy Principles. Unternehmen in den USA müssen sich ihnen unterwerfen, wenn sie sich wie zuvor bei Safe Harbor auf einer Liste von selbstzertifizierten Unternehmen eintragen lassen wollen. Zu den Privacy Principles, die sich an europäischen Datenschutzgrundsätzen orientieren, zählen unter anderem:


•    die Notwendigkeit, über die Nutzung von Daten zu informieren („Notice Principle“),
•    den Betroffenen bestimmte Widerrufsmöglichkeiten zu geben („Choice Principle“),
•    eine Zwecklimitierung („Data Integrity and Purpose Limitation Principle“)


Vorsorge: Wichtig ist auch, dass die Unternehmen angemessene und verhältnismäßige Sicherheitsmaßnahmen ergreifen müssen („Security Principle“). Um diese Verpflichtung zu erfüllen, müssen die US-amerikanischen Unternehmen, auch mit Subunternehmern schriftliche Verträge abschließen, die die Privacy Principles beinhalten.

Auskunft: Weitere Verpflichtungen sind Auskunftsrechte („Access Principle“), Beschränkungen hinsichtlich der Weitergabe der personenbezogenen Daten („Accountability for Onward Transfer Principle“) und Rechtsschutzmöglichkeiten („Recurs, Enforcement and Liability Principle“). Zudem müssen die US-Unternehmen andere (beispielsweise Betroffene) darüber informieren, dass sie an Privacy Shield teilnehmen.