Die EU-Kommission hat mit ihrem Beschluss vom 12. Juli 2016 zum EU-US Privacy Shield das Datenschutzniveau in den USA sektoral in Bezug auf selbst zertifizierte US-Unternehmen als angemessen anerkannt. Hierüber haben wir berichtet.

Inzwischen liegt ein erster Leitfaden einer deutschen Aufsichtsbehörde für die Umsetzung des EU-US Privacy Shield vor. Die Landesbeauftragte für Datenschutz und Informationssicherheit Nordrhein-Westfalen (LDI NRW) hat diesen Leitfaden am 12. September 2016 veröffentlicht.

So wird beispielsweise in der Antwort zur Frage 4 festgehalten, welche Prüfpflichten der verantwortlichen Stelle obliegen. Im Rahmen der sorgfältigen Auswahl eines selbst zertifizierten US-Unternehmens müssen sich laut LDI NRW verantwortliche Stellen vergewissern, dass das Daten empfangende US-Unternehmen eine gültige Zertifizierung besitzt und dass diese auch eingehalten wird. In der Praxis muss die verantwortliche Stelle daher mindestens klären, ob die Zertifizierung tatsächlich vorliegt, diese noch gültig ist und ob die zu übermittelnden Daten von der Zertifizierung abgedeckt sind.

Die LDI NRW empfiehlt weiterhin, dass sich verantwortliche Stellen nachweisen lassen sollten, wie das US-Unternehmen seine Informationspflichten gegenüber den von der Datenverarbeitung betroffenen Personen nachkommt.

Zu einer gewissen Unsicherheit in der Praxis führt im Leitfaden folgender Satz:

Die LDI NRW behält sich vor, aufgrund von Ergebnissen der jährlichen Überprüfung des EU-US Privacy Shield und eigenen Erkenntnissen, Datenübermittlungen unter dem EU-US Privacy Shield gegebenenfalls in Einzelfällen auszusetzen.“

Hier stellt sich die Frage, ob eine Datenschutzaufsichtsbehörde eine Datenübermittlung in Einzelfällen überhaupt aussetzen kann. Dafür müsste sie einen entsprechenden förmlichen Bescheid erlassen, denn eine formlose Aussetzung von Übermittlungen kann rechtlich nicht durchgesetzt werden. Anders sieht die Rechtslage dann aus, wenn die Voraussetzungen, die das EU-US Privacy Shield vorgibt, in einem Einzelfall nicht eingehalten werden.

Praxistipp:

Insgesamt ist festzustellen, dass die Akzeptanz des Privacy Shields noch recht verhalten ist und Aufsichtsbehörden zum Datenschutz das neue Schutzschild wohl nur widerwillig akzeptieren. Aktuell hat die Verbraucherorganisation Digital Rights Irland eine Klage vor dem EuGH zum Privacy Shield eingereicht mit der Forderung, dieses für ungültig zu erklären. Eine solche direkte Klage ist aber unter dem EU-Recht nur unter bestimmten Umständen möglich, was derzeit vom EuGH geprüft wird.