EU-US Privacy Shield 

Das Personalcontrolling befasst sich mit der Steuerung und Kontrolle von HR-Prozessen. Entscheidungsträger unterstützt es bei der Entscheidungsfindung.

Was ist das EU-US Privacy Shield? 

Das EU-US Privacy Shield dient der Regelung der Datenübertragung und -übermittlung in die USA. Die Nachfolgeregelung des Safe-Harbor-Abkommens soll einen transatlantischen Datenverkehr auf europäischem Datenschutzniveau gewährleisten. Hintergrund ist der, dass der Umgang mit personenbezogenen Daten in den USA weniger strikt reglementiert ist als in Europa. Die USA gilt daher in Sachen Datenverkehr nicht als sicheres Drittland. In der Europäischen Union ist der Datenschutz und das Recht auf Privatsphäre verfassungsrechtlich verankert. Im deutschen Recht haben Personen das Grundrecht auf informationelle Selbstbestimmung. Sie können grundsätzlich selbst entscheiden, ob sie ihre personenbezogenen Daten preisgeben und wie diese verwendet (erhoben, genutzt und verarbeitet) werden. In den USA hingegen basiert die Datenvergabe auf Selbstregulierung. In Deutschland wird der Datenschutz im Bundesdatenschutzgesetz (BDSG) geregelt. Mit Blick auf die EU-Datenschutz-Grundverordnung (DSGVO) wurde das BDSG überarbeitet: Die DSGVO enthält Öffnungsklauseln, die nationale Regelungen zulassen. Mit Anwendbarkeit der DSGVO am 25. Mai 2018 gilt das BDSG (neu). In den USA hingegen existiert kein branchenübergreifendes Datenschutzgesetz. Die Datenschutzaufsicht übernehmen in Deutschland Bundes- und Landesbeauftragte für den Datenschutz, in den USA erfolgt sie weitestgehend durch die Federal Trade Commission (FTC). 

Safe-Harbor-Abkommen 

Im Jahr 2000 wurde zunächst das Safe-Harbor-Abkommen zwischen Europa und den USA beschlossen, um den gegenseitigen Datenverkehr zu ermöglichen. Ein solcher Transfer personenbezogener Daten zwischen der EU und einem Staat ohne vergleichbares Datenschutzniveau ist laut EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) – die im Mai 2018 durch die DSGVO abgelöst wird – grundsätzlich verboten. Mit dem Safe-Harbor-Abkommen sollte eine genehmigungsfreie Datenübermittlung möglich sein, wenn sich Unternehmen auf die Safe-Harbor-Regularien verpflichteten und über ein Safe-Harbor-Zertifikat verfügten. Entsprechende Unternehmen wurden in ein Verzeichnis des US-Handelsministeriums eingetragen. Für folgende 7 Safe Harbor Principles sollte ein adäquates Datenschutzniveau gewährleistet werden: Informationspflicht, Wahlmöglichkeit, Weitergabe, Auskunftsrecht, Datenintegrität. Sicherheit, Durchsetzung. In der Kritik stand das Abkommen u. a. deshalb, weil es auf freiwilliger Selbstkontrolle fußte und die Einhaltung der Datenschutzprinzipien nicht von unabhängigen Aufsichtsbehörden kontrolliert wurde. Am 06.10. 2015 erklärte der Europäische Gerichtshof (EuGH) die Safe-Harbor-Entscheidung in einem Urteil für ungültig. Vorausgegangen war eine Beschwerde eines österreichischen Facebook-Nutzers bei der irischen Datenschutzbehörde: Vor dem Hintergrund der Snowden-Enthüllungen sah er seine Daten nicht ausreichend vor der Überwachung US-amerikanischer Behörden geschützt. Im Zuge der Enthüllungen um Edward Snowden ist bekannt geworden, dass verschiedene US-Dienste die weltweite Internetkommunikation überwachen. Die Gültigkeit der Kommissionsentscheidung zum Safe-Harbor-Abkommen wurde anschließend durch den EuGH geprüft. Das EU-US Privacy Shield ist die Nachfolgeregelung des Safe-Harbor-Abkommens: Am 12.07.2016 beschloss die EU-Kommission in einer Angemessenheitsentscheidung, dass die Datenschutzvorgaben des Privacy Shields europäischem Datenschutzniveau entsprechen.  

Datenschutzgrundsätze des Privacy Shields 

Das EU-US-Datenschutzschild dient dem Schutz personenbezogener Daten von EU-Bürgern beim transatlantischen Datentransfer: Es soll die Transparenz der Datenverarbeitung erhöhen und die Datenschutzrechte Betroffener stärken. Nach dem Prinzip der Selbstzertifizierung verpflichten sich US-Unternehmen auf definierte Datenschutzgrundsätze:

  • Informationspflicht: Unternehmen müssen die Personen, deren Daten sie verarbeiten, u. a. über den Verarbeitungszweck, die Bedingungen der Datenweitergabe und die Art der erhobenen Daten informieren. Sie müssen ihre Datenschutzbestimmungen online veröffentlichen und u. a. zur Webseite des Handelsministeriums verlinken.
  • Datenintegrität und Zweckbindung: Personenbezogene Daten sollen zweckgebunden und nicht dem Erhebungszweck zuwider verarbeitet werden. Sie dürfen nur so lange gespeichert werden, wie es für die Zweckerfüllung erforderlich ist. Eine längere Speicherung ist nur für bestimmte Zwecke möglich (z. B. Journalismus). Die für den Zweck erforderlichen Daten müssen vollständig, korrekt und aktuell sein.
  • Wahlmöglichkeit: Ändert sich der Verwendungszweck, hat die Person ein Widerspruchsrecht (Opt-out). Im Direktmarketing muss die Person der Verwendung jederzeit widersprechen können.
  • Sicherheit: Datenverarbeiter müssen angemessene Sicherheitsvorkehrungen gegen die Risiken der Datenverarbeitung treffen. Compliance-Lücken müssen erkannt und eliminiert werden. Daten müssen gegen Missbrauch, Verlust, Zerstörung oder unautorisierten Zugriff abgesichert werden.
  • Auskunftsrecht: Personen haben ein Recht zu erfahren, ob das Unternehmen ihre personenbezogenen Daten verarbeitet und können eine Übermittlung ihrer Daten verlangen. Außerdem haben sie ein Recht darauf, falsche oder unrechtmäßig verarbeitete Daten zu korrigieren oder zu löschen.
  • Rechtsschutz, Durchführung und Haftung: Werden die Daten von EU-Bürgern nicht rechtskonform verarbeitet, ist diesen Rechtschutz zu gewähren. Eine entsprechende Kontaktstelle für eventuelle Beschwerden muss vorhanden sein. Mögliche Instanzen sind bspw. das Privacy Shield Unternehmen selbst, Datenschutzaufsichtsbehörden oder die Federal Trade Commission (FTC). Unternehmen müssen sich vergewissern, dass ihre Datenschutzbestimmungen mit den Datenschutzgrundsätzen konform gehen und umgesetzt werden (z. B. durch Mitarbeiterunterweisung, externe Überprüfungen, Audits).
  • Datenweitergabe: Für die Weitergabe von Daten an andere Verarbeiter gelten besondere Regeln. Eine Weitergabe muss sich auf die definierten Zwecke begrenzen und auf einer Vertragsgrundlage mit gleichem Schutzniveau erfolgen. Betroffene sind über die Art des Empfängers und den Zweck der Weitergabe, ihre Wahlmöglichkeiten und ihr Widerspruchsrecht (s. o.) zu informieren. Handelt es sich um sensible Daten, müssen sie explizit zustimmen (Opt-in).

Unternehmen haben die Möglichkeit, sich für einen genehmigungsfreien Datenverkehr zu zertifizieren und im Verzeichnis des Handelsministeriums eintragen zu lassen. Die Zertifizierung wird jährlich erneuert. Das Verzeichnis soll i. S. d. Datenschutzschilds regelmäßig überprüft werden. Bei Verstößen müssen Unternehmen damit rechnen, von der Liste gestrichen zu werden. Jährlich sind Überprüfungstagungen durch die EU-Datenschutzbehörden, das US-Handelsministerium und die Federal Trade Commission (FTC) vorgesehen, um die Datenschutzanforderungen compliance-gerecht umzusetzen. 

Fazit

Das EU-US Privacy Shield ist die Nachfolgeregelung des Safe-Harbor-Abkommens für den Datentransfer zwischen Europa und den USA. Hintergrund für das 2000 beschlossene Abkommen ist die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), die einen Datenverkehr zwischen EU-Mitgliedstaaten und unsicheren Drittländern verbietet. Die USA gilt als ein solches Drittland, da die dortigen Datenschutzregelungen nicht dem europäischen Datenschutzniveau entsprechen. Im deutschen Recht beispielsweise haben Personen ein Grundrecht auf informationelle Selbstbestimmung und können über die Verwendung ihrer personenbezogenen Daten grundsätzlich selbst entscheiden. In den USA erfolgt die Datenvergabe auf Basis von Selbstregulierung. Am 06. Oktober 2015 wurde das Safe-Harbor-Abkommen für ungültig erklärt. Am 12. Juli 2016 beschloss die EU-Kommission mit dem EU-US Privacy Shield eine Nachfolgeregelung zum Schutz personenbezogener Daten von EU-Bürgern beim transatlantischen Datenverkehr. Das Datenschutzschild soll ein für Europa angemessenes Datenschutzniveau gewährleisten, die Transparenz der Datenverarbeitung erhöhen und die Datenschutzrechte Betroffener stärken. US-Unternehmen müssen sich den Privacy-Shield-Grundsätzen (z. B. Informationspflicht, Datenintegrität und Zweckbindung) verpflichten und beim US-Handelsministerium zertifizieren und listen lassen. 

Newsletter abonnieren

Stets die aktuellsten Themen im Bereich HR, Recruiting und Bewerbermanagement im Blick haben.