EU–US Privacy Shield
Wir erklären Ihnen, was es mit dem EU-U.S. Privacy Shield auf sich hat.
Sie sind ein europäisches Unternehmen und wollen nun auch in den USA Fuß fassen?
Sollen persönliche Daten Ihrer Kunden aus der EU in die USA übertragen werden? Dann sollten Sie sich spätestens jetzt Gedanken machen, ob möglicherweise das EU-U.S. Privacy Shield die richtige Rechtsgrundlage für die Übermittlung von Daten in die USA für Ihr Unternehmen ist. Denn auch zwischen der EU und den USA ist Datenschutz ein wichtiges Thema, dass Sie beachten sollten.
Was ist das EU–US Privacy Shield?
Das EU–U.S. Privacy Shield ist ein Datenschutzabkommen zwischen der Europäischen Kommission und dem U.S. Department of Commerce, das die Übermittlung personenbezogener Daten aus der EU in die USA regelt. Dieses gilt seit dem 12.07.2016 als Nachfolgemodell des für unwirksam erklärten Safe Harbor Abkommens und will vor allem einen besseren Schutz der Privatsphäre von europäischen Verbrauchern erreichen und die Transparenz in Bezug auf das Sammeln, Verwenden und Teilen von Daten erhöhen. Der Vorteil für amerikanische Unternehmen dabei ist, dass sie durch eine öffentliche Zertifizierung unter dem Privacy Shield sofort nachweisen können, dass europäische Datenschutzstandards im Unternehmen eingehalten werden.
Gleichzeitig führen die neuen Privacy Shield Bestimmungen aber auch zu einem umfangreichen Handlungsbedarf für teilnehmende amerikanische Unternehmen, da diverse Datenschutzvorgaben eingehalten werden müssen.
Was gilt es zu beachten?
Zuerst ist es notwendig sich für das Privacy Shield unter www.privacyshield.gov selbst zu zertifizieren und dabei zu versichern, dass man die Privacy Shield Prinzipien anerkennt und einhält. Wenn dies erfolgt ist, so hat man nun vor allem die umfangreichen Informationspflichten zu beachten, die Prinzip I der Privacy Shield Bestimmungen vorschreibt. Diese Informationen sind dem Kunden unmissverständlich und deutlich erkennbar zu machen. Hierzu zählen die Arten der erfassten Daten und der Zweck, zu dem die Daten erhoben wurden. Zudem ob eine Weitergabe an Dritte erfolgt und wenn ja, zu welchem Zweck. In diesem Zusammenhang ist auch über die mögliche Haftung Ihres Unternehmens aufzuklären, wenn Daten an nicht genannte Dritte weitergegeben werden oder der Dritte selbst die Daten falsch verwendet. Der Verbraucher ist auch über sein Recht auf Zugang zu den Daten zu belehren, über sein Wahlrecht, zu welchem Zweck die Daten verwendet werden dürfen, und über sein Recht, gesammelte Daten zu korrigieren oder aktualisieren. Des Weiteren muss Ihr Unternehmen einen unabhängigen Streitbeilegungsmechanismus bereithalten und dem Verbraucher mitteilen.
Neben diesen gibt es noch weitere Informationspflichten und auch unternehmensinterne Auflagen, die Sie als amerikanisches Unternehmen erfüllen müssen. Eine Verletzung dieser Prinzipien kann dabei sowohl zu Beschwerden von Verbrauchern als auch zu behördlichen oder gerichtlichen Anordnungen führen und damit einhergehend zu empfindlichen Geldbußen.
Worüber muss ein Unternehmen informieren?
Um an dem EU–U.S. Privacy Shield teilzunehmen, müssen folgende Informationen gut sichtbar bereitgehalten werden:
- ihre Teilnahme am Datenschutzschild mit einem Link zur Datenschutzschild-Liste oder der Webanschrift der Liste,
- die Arten der erfassten personenbezogenen Daten und gegebenenfalls die Einrichtungen oder Tochterunternehmen der Organisation, die die Grundsätze ebenfalls einhalten,
- ihre Verpflichtung, die Grundsätze auf alle aus der EU empfangenen personenbezogenen Daten unter Zugrundelegung des Datenschutzschilds anzuwenden,
- zu welchem Zweck sie die personenbezogenen Daten über sie erhebt und verwendet,
- wie sie die Organisation bei eventuellen Nachfragen oder Beschwerden kontaktieren können, wozu auch Angaben zu einer relevanten Einrichtung in der EU gehören, die auf derartige Nachfragen oder Beschwerden eingehen kann,
- die Kategorie und Identität von Dritten, an die die Daten weitergegeben werden, sowie der Zweck der Weitergabe,
- das Recht von Privatpersonen auf Zugang zu ihren personenbezogenen Daten,
- welche Mittel und Wege sie den Privatpersonen zur Verfügung stellt, um die Verwendung und Weitergabe ihrer personenbezogenen Daten einzuschränken,
- das zur Bearbeitung von Beschwerden und für einen kostenlosen Rechtsschutz für die Privatperson benannte unabhängige Streitbeilegungsgremium, und ob es sich 1) um das von Datenschutzbehörden eingerichtete Gremium, 2) um einen in der EU ansässigen Anbieter für alternative Streitbeilegung oder 3) um einen in den Vereinigten Staaten ansässigen Anbieter für alternative Streitbeilegung handelt,
- die für die Organisation geltenden Ermittlungs- und Durchsetzungsbefugnisse der FTC, des Verkehrsministeriums oder einer anderen bevollmächtigten US-Behörde,
- die Möglichkeit, unter bestimmten Bedingungen ein verbindliches Schiedsverfahren anzustrengen,
- die Bestimmung, personenbezogene Daten auf rechtmäßige Anfrage von Behörden offenzulegen, um Erfordernissen der nationalen Sicherheit oder der Strafverfolgung nachzukommen, und
- die Haftung der Organisation bei Weitergabe an Dritte.
Daher ist es besonders wichtig, sich von Anfang an von einem Fachmann über dieses komplexe Thema beraten zu lassen und kein Risiko einzugehen.
Wir haben bereits namhafte Unternehmen wie die TeamSpeak Systems Inc. für das EU-U.S. Privacy Shield zertifiziert und beraten und wissen daher genau, worauf es ankommt.
Rechtsanwalt Stephan Hendel sowie die gesamte Kanzlei Gabler und Hendel steht Ihnen bei Ihren Fragen gerne zur Verfügung. Wir übernehmen für Sie auch gerne die Selbstzertifizierung und das Erstellen einer rechtskonformen Privacy Shield Erklärung.
Dein Kommentar
An Diskussion beteiligen?Hinterlassen Sie uns Ihren Kommentar!