Datenübermittlung und Datenüberlassung in die USA: Informationen zu Safe Harbour und Privacy Shield

Der Europäische Gerichtshof hat am 6. Oktober 2015, C-362/14, die Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärt. Auf Grundlage dieser Entscheidung war der Großteil des Datenverkehrs zwischen den Unternehmen in Mitgliedstaaten der Europäischen Union und den USA genehmigungsfrei.

Am 12. Juli 2016 hat die Europäische Kommission den EU-US-Datenschutzschild ('EU-US Privacy Shield') angenommen.

Diese Angemessenheitsentscheidung C(2016) 4176 final (in deutscher (PDF 517 kB) und englischer Fassung), ist die Nachfolgeregelung der Safe Harbor Entscheidung.

Siehe dazu auch die Pressemitteilung der Europäischen Kommission vom 12.07.2016. Dabei sind auch die Anhänge zu dieser Entscheidung zu berücksichtigten, die am Ende der Pressemitteilung angeführt sind (Anhänge in deutscher Fassung (PDF 1018 kB)).

Ein Leitfaden für Bürger (der Citizen's Guide to the Privacy Shield) wurde auf der Website der Europäischen Kommission veröffentlicht. Der Leitfaden ist derzeit nur in englischer Sprache erhältlich. An einer deutschen Übersetzung wird gearbeitet.

Was bedeutet das für mich und mein Unternehmen?

Sobald die Angemessenheitsentscheidung in den USA kundgemacht wurde, können sich US-Unternehmen vom US-Handelsministerium zertifizieren lassen.

Wurde ein Unternehmen zertifiziert, ist der Datenfluss an dieses Unternehmen grundsätzlich genehmigungsfrei, d.h., es ist keine Genehmigung der Datenschutzbehörde erforderlich.

Was bedeutet Privacy Shield für mich als Betroffenen?

Wenn Ihre personenbezogenen Daten an einen Empfänger, der in der Privacy Shield-Liste des US-Handelsministeriums aufscheint, übermittelt werden und wenn sie der Ansicht sind, dass Ihre Daten missbräuchlich verwendet werden, sollten Sie sich zuerst an das US-Unternehmen wenden.

Wird keine Lösung erreicht, steht es Ihnen offen, sich an die Datenschutzbehörde zu wenden, die dann mit dem US-Handelsministerium und/oder der Federal Trade Commission in Verbindung treten kann.

Bitte beachten Sie, dass die Datenschutzbehörde in diesem Fall keine bindende Entscheidung erlassen kann!

Hat die Datenschutzbehörde überhaupt Kontrollbefugnisse?

Gemäß dem Urteil vom 6. Oktober 2015 kann die Datenschutzbehörde in begründeten Verdachtsfällen Verfahren einleiten und den Datenfluss in die USA gegebenenfalls untersagen.