USA-Datenschutz nach Safe Harbor: Änderungen nach Entscheidung der Aufsichtsbehörden

Der so genannte „Düsseldorfer Kreis“ hat im April diesen Jahres eine Entscheidung hinsichtlich der Zulässigkeit von Datentransfers von Deutschland in die USA an jene Unternehmen getroffen, die den „Safe-Harbor-Prinzipien“ beigetreten sind. Welche Auswirkungen diese Entscheidung für die Datentransferpraxis hat, soll in diesem Aufsatz erläutert werden.

Was ist der „Düsseldorfer Kreis“?

Der Düsseldorfer Kreis ist der Zusammenschluss der Datenschutz-Aufsichtsbehörden im Unternehmens-Bereich (so genannte „nicht-öffentliche Stellen“). Am 29. April 2010 hat der Düsseldorfer Kreis einen Beschluss hinsichtlich des Datentransfers im Rahmen des Safe-Harbor Abkommens überlassen. Der Düsseldorfer Kreis hat in dem Beschluss unter anderem verschärfte Richtlinien erlassen, die den Unternehmen weitere Pflichten bei Datentransfers an Safe-Harbor zertifizierte US-Unternehmen auferlegen.

Was gilt grundsätzlich beim Export von Daten aus Deutschland heraus?

Gemäß § 4b, c des Bundesdatenschutzgesetzes ist eine Datenübermittlung von deutschen Unternehmen an Unternehmen im Ausland solange unbedenklich, solange sich diese Unternehmen in der Europäischen Union oder im Europäischen Wirtschaftsraum (Norwegen, Island und Liechtenstein) befinden. Sollen die Daten an ein Unternehmen in einem anderen Land übertragen werden, muss gesondert geprüft werden ob die Stelle, welche die Daten erhalten soll, ein angemessenes Datenschutz-Schutzniveau aufweist (hierzu können beispielsweise im Einzelfall so genannte „EU-Standardvertragsklauseln“ oder konzernweite verbindliche Datenschutz-Regeln verwendet werden).

Angemessenes Schutzniveau für manche Länder von EU-Kommission bestimmt

Die EU-Kommission hat für die Länder Kanada, Argentinien, Schweiz, Guernsey und Isle of Man bereits das angemessene Datenschutz-Schutzniveau nach der dortigen Gesetzeslage für das ganze Land bestimmt. Soll in ein anderes Land übertragen werden, dass von der EU-Kommission nicht offiziell anerkannt wurde, muss das angemessene Schutzniveau für den Einzelfall festgestellt werden.

Sonderfall USA

Aufgrund der engen Handelsbeziehungen mit den Vereinigten Staaten wurde seitens der EU eine Sonderlösung bestimmt, obwohl gerade für die USA ein angemessenes Datenschutz-Schutzniveau durch die EU-Kommission nicht festgestellt wurde. Nach dem so genannten „Safe-Harbor-Abkommen“ ist es Unternehmen in den USA möglich, sich bei einer US-Behörde als „Unternehmen mit angemessenem Datenschutzniveau“ zertifizieren zu lassen. Die Unternehmen müssen hierbei dem „Safe-Harbor-Abkommen“ beitreten und sich den darin festgelegten Regeln zum Umgang mit personenbezogenen Daten formal unterwerfen. Der deutsche Datenexporteur darf dann Daten an dieses US-Unternehmen übermitteln (dies natürlich nur, wenn die Übermittlung auch im Übrigen datenschutzrechtlich zulässig ist).

Was galt bisher?

…