Ergebnis der ersten Überprüfung des EU-US-Datenschutzschilds: Positiv mit gewissen Verbesserungswünschen

View this post in English

Wenn wir mit Kunden und Interessenten über Unternehmens-Software in der Cloud - beispielsweise die Google G Suite - sprechen, begegnen wir immer wieder Vorbehalten im Hinblick auf Datenschutz und Datensicherheit. Erfüllen US-Unternehmen wie Google, Microsoft & Co. wirklich die hohen Standards, die in Deutschland und der EU verbindlich sind? Rechtsanwalt Wikey Chada wirft für uns an dieser Stelle regelmäßig einen Blick auf die Fakten:


Nachdem ich im Blog-Artikel Google und der europäische Datenschutz die Hintergründe der am 1. August 2016 in Kraft getretenen Vereinbarung EU-U.S. Privacy Shield (nachfolgend: EU-US-Datenschutzschild) dargestellt und einen Grundriss über dessen Inhalt gegeben habe, erläutere ich in diesem Beitrag, wie die erste jährliche Überprüfung der Umsetzung der Vereinbarungen aus dem EU-US-Datenschutzschild durch die Europäische Kommission ausgefallen ist.

In der Pressemitteilung der Europäischen Kommission vom 18. Oktober 20171 erklärt diese in der Überschrift, der "Datenschutzschild funktioniert (...) ordnungsgemäß, ist aber in der Praxis verbesserungswürdig" – um das Ergebnis der Überprüfung der Funktionsweise des Datenschutzschilds vorwegzunehmen.

Dem Resultat war Mitte September 2017 ein Treffen der Europäischen Kommission und unabhängiger Datenschutzbehörden der EU-Mitgliedstaaten mit den zuständigen US-Behörden in Washington vorausgegangen, in dessen Rahmen die Überprüfung durchgeführt wurde.

In dem der Pressemitteilung zugrundeliegenden Bericht2 befindet die Kommission, die US-Behörden hätten die notwendigen Strukturen und Verfahren eingeführt, um die korrekte Funktionsweise des Datenschutzschilds zu gewährleisten.

Auf der anderen Seite macht die Kommission den US-Behörden Verbesserungsvorschläge hinsichtlich der praktischen Umsetzung des EU-US-Datenschutzschilds, um die intendierten Garantien und Schutzvorkehrungen aus der Vereinbarung sicherzustellen3. Hervorgehoben seien die nachfolgenden Punkte:

  • Unternehmen sollten nicht in der Lage sein, sich vor der Zertifizierung und Listung durch das U.S. Department of Commerce (US-Handelsministerium; nachfolgend DoC) als zertifiziert zu bezeichnen. Das DoC solle proaktiv stichpunktartig Unternehmen auf Falschbezeichnung hin überprüfen.
  • Überprüfung und Sicherstellung der Einhaltung der Datenschutzpflichten durch die zertifizierten Unternehmen durch das DoC.
  • Steigerung der Bemühungen zur besseren Information der EU-Bürger über ihre Datenschutzrechte und über das Beschwerdeverfahren.
  • Engere Kooperation der US-Behörden untereinander und mit den EU-Datenschutzbehörden, um insbesondere Leitlinien für Unternehmen zu erarbeiten, die die aus dem Datenschutzschild erwachsenen Konzepte erläutern.
  • Aufrechterhaltung des vorgesehenen Schutzes für Personen außerhalb der USA aus der von Präsident Barack Obama erlassenen "Presidential Policy Directive 28 (PPD-28)" vom 17. Januar 20144 auch im Zuge der neuen Debatten über die Wiedereinführung der vorherigen Gesetzeslage (§ 702 des US-Gesetzes über die Auslandsaufklärung).
  • Baldige Ernennung einer ständigen Ombudsperson.

Die Europäische Kommission hat geplant, die Umsetzung dieser Empfehlung in den kommenden Monaten zu überprüfen und die Funktionsweise des Datenschutzschilds und die Einhaltung dessen zu beobachten5. Dies dürfte insbesondere vor dem Hintergrund der EU-weiten Geltung der EU-Datenschutz-Grundverordnung6 ab dem 25. Mai 2018 interessant werden.

Gleichwohl kommt die Kommission insgesamt zu dem Ergebnis, dass der EU-US-Datenschutzschild weiterhin ein angemessenes Datenschutzniveau gewährleistet, um personenbezogene Daten aus der EU an die unter dem Datenschutzschild zertifizierten Unternehmen übertragen zu können7.

So seien unter anderem Rechtsschutzinstrumente für natürliche Personen geschaffen, Beschwerde- und Rechtsdurchsetzungsverfahren eingerichtet und die Zusammenarbeit mit EU-Datenschutzbehörden intensiviert worden. Die Schutzvorkehrungen gegen die Sammlung und Nutzung personenbezogener Daten durch US-Behörden aus Gründen der nationalen Sicherheit seien ebenfalls weiterhin vorhanden.

Nach dem derzeitigen Stand schafft dies Rechtssicherheit für Unternehmen, die auf den Datenaustausch mit US-Firmen angewiesen sind, sofern diese zertifiziert sind.

Derzeit sind über 2.500 zertifizierte Unternehmen gelistet, darunter die größten US-Unternehmen wie Amazon, Facebook, Google etc. Hier findet sich die gesamte Liste der zertifizierten Unternehmen.

Wenn Sie sich im Zusammenhang mit der Übermittlung von personenbezogenen Daten an Unternehmen in den USA unsicher sind, schauen Sie zuerst in der Liste der zertifizierten Unternehmen nach. Wie auch der Hinweis der Europäischen Kommission es aufzeigt, ist längst nicht jedes Unternehmen zertifiziert, das sich selbst in Medien mit diesen "Federn schmückt".

Wikey Chada (Xing, LinkedIn) ist Rechtsanwalt (www.chada-law.de) in Wiesbaden. Seine aktuellen Tätigkeitsschwerpunkte liegen im deutschen und Internationalen Wirtschaftsrecht und dort insbesondere in den Bereichen IT-Recht, Datenschutzrecht, Urheberrecht, in den sonstigen Bereichen des gewerblichen Schutzrechts sowie im Steuerrecht und im Gesellschaftsrecht.

Wenn Sie mit Ihrem Unternehmen den Einsatz von Google-Technologie prüfen, helfen Ihnen //SEIBERT/MEDIA und Rechtsanwalt Herr Wikey Chada gerne weiter: Kontaktieren Sie uns!


[1] Pressemitteilung der Europäischen Kommission vom 18. Oktober 2017.

[2] Siehe den Bericht der Europäischen Kommission "Report on the Privacy Shield Annual Review" vom 18. Oktober 2017.

[3] Seite 4 f. des Berichts aus Fn. 2.

[4] "Presidential Policy Directive 28" vom 17. Januar 2014.

[5] Siehe Pressemitteilung der Europäischen Kommission, Fn. 1.

[6] Datenschutz-Grundverordnung (DSGVO).

[7] Seite 4 des Berichts aus Fn. 2.


Artikelbild auf der Startseite: Ying und Yang 335/365 von Dennis Skley unter CC-Lizenz.