Privacy Shield: Für welche Unternehmen lohnt sich die Zertifizierung?

Fachbeitrag

Hinsichtlich einer EU-U.S. Privacy Shield-Zertifizierung bestehen bei vielen Unternehmen noch Unsicherheiten. Längst nicht alle Unternehmen, die sich dem Safe Harbor-Regime angeschlossen haben, beantragen auch die Privacy Shield-Zertifizierung. Dieser Artikel soll einen Überblick darüber geben, für welche Unternehmen sich die Zertifizierung lohnt und welche inhaltlichen Vorgaben dabei auf die Unternehmen zukommen.

Was ist das EU-U.S. Privacy Shield?

Das EU-U.S. Privacy Shield löst die in einer Grundsatzentscheidung vom EUGH für ungültig erklärte Safe Harbor- Entscheidung ab.

Es besteht aus einer Reihe von Zusicherungen der US-amerikanischen Regierung und einem Beschluss der EU-Kommission, dass das Abkommen ein angemessenes Datenschutzniveau des Empfängerstaats gewährleistet. US-Unternehmen können sich seit dem 01.08.2016 beim US-Handelsministerium selbstzertifizieren.

Mit dem Thema Privacy Shield haben wir uns in der Vergangenheit bereits in einigen Artikeln befasst. Einen guten Überblick, auch hinsichtlich der Bedenken der Datenschützer, erhalten sie hier.

Zertifizierung nicht attraktiv?

Viele Unternehmen zögern immer noch sich nach Privacy Shield zertifizieren zu lassen. Von ca. 5000 amerikanische Unternehmen, die sich Safe Harbor angeschlossen haben, sind nur eine Handvoll auf der offiziellen Privacy-Shield-Liste eingetragen. Dies mag vor allem daran liegen, dass viele europäische Datenschützer, wie z.B. die Artikel 29-Gruppe, öffentlich datenschutzrechtliche Bedenken hinsichtlich der Regelungen geäußert haben.

Wichtige Schritte für die Zertifizierung

Folgende Punkte sollte ein Unternehmen u.a. berücksichtigen, damit es sich nach Privacy Shield zertifizieren kann:

  • Durchführung einer internen Compliance-Beurteilung, ob das Unternehmen den Informationspflichten nachkommen kann
  • Überprüfung von Verträgen mit externen Dienstleistern und ggf. Anpassen der Verträge an die Vorgaben von Privacy Shield.
  • Erstellung interner Datenschutzrichtlinien (z.B. zu Löschroutinen, oder zum Beschwerdemanagement)

Ab wann gilt das Privacy Shield für ein Unternehmen

Die Regelungen des EU-U.S. Privacy Shields gelten grundsätzlich unmittelbar vom Zeitpunkt der Zertifizierung an. Zu beachten ist daher, dass ein sich zertifizierendes Unternehmen deshalb bereits zum Zeitpunkt des Antrags alle Anforderungen erfüllen muss.

Pro und Kontra einer Zertifizierung

Folgende Pros und Kontras können in die Überlegungen, ob eine Zertifizierung sinnvoll ist, mit einbezogen werden:

Pro:

  • Aufwand für bereits Safe Harbor- Zertifizierte Unternehmen hält sich in Grenzen (viele der Prinzipien sind gleich geblieben)
  • Durch Selbstzertifizierung geringerer Aufwand als für Binding Corporate Rules
  • Verhältnismäßig geringe Kosten für die Zertifizierung (250 – 3.500 Dollar)
  • Wettbewerber werden sich ggf. zertifizieren lassen und können damit werben
  • Für US-Unternehmen ist überschaubar, welche Behörde zuständig ist

Kontra:

  • Unklare Rechtslage wegen kritischer Stimmen der europäischen Datenschützer
  • Viele Kunden werden weiterhin auf die Unterzeichnung von EU-Standardverträgen bestehen
  • Unklar wie das Zusammenspiel zwischen Privacy Shield und EU-Standardverträgen ist
  • Umfang der jährlichen Datenschutzberichte unklar

Es lohnt sich ggf. auch die in der letzten Woche veröffentlichte Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit NRW mit in die Überlegung einzubeziehen. In der Handreichung werden 13 Fragen rund um das transatlantische Datenschutzabkommen, wie z.B. welche Prüfpflichten einer verantwortlichen Stelle nach dem Privacy Shield obliegen, beantwortet.

Fazit

Ob sich die Zertifizierung nach Privacy Shield lohnt, wird jedes Unternehmen im Einzelfall entscheiden müssen. Man sollte sich aber in jedem Fall aufgrund der drohenden Geldbußen schnellstmöglich um eine datenschutzrechtliche Absicherung der Datenströme in die USA kümmern.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonforme Datentransfers von Unternehmen in das Ausland
  • Wie geht es weiter nach dem Wegfall von Safe Harbor?
  • Einsatzmöglichkeiten von EU-Standardvertragsklauseln und Binding Corporate Rules

Informieren Sie sich hier über unser Leistungsspektrum: Internationaler Datenschutz

2 Kommentare zu diesem Beitrag

  1. Was hat ein deutsches Unternehmen zu befürchten, wenn es in der Google Cloud seine Daten liegen hat. Wie sieht das mit der im Fazit beschriebenen Geldbußen aus. Eine diesbezügliche Anfrage an das BSI blieb bisher unbeantwortet. Bei den Bestimmungen scheint noch einiges unklar zu sein, nur nicht bei den Geldbußen.

    • Wenn das Unternehmen nach Privacy Shield zertifiziert ist und sich an die Vorgaben hält hat es keine Geldbußen zu befürchten. Zu Vorgaben ist in der Tat inhaltlich noch nicht viel bekannt.
      Die Aufsichtsbehörden haben für Unternehmen, deren Datentransfers früher nach Safe Harbor vollzogen wurden und die noch keine rechtliche Alternative umgesetzt haben, bisher ein Bußgeld von bis zu 11.000 Euro festgesetzt. Das BDSG sieht aber Bußgelder von bis zu 300.000 Euro pro Verstoß vor. Es ist damit zu rechnen, dass je mehr Zeit zwischen Safe Harbor- Entscheidung und fehlender Absicherung der Datenflüsse in die USA verstreicht, die Geldbuße umso höher wird.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.