25.08.2016 |
Nachdem der „sichere Hafen“ – das Safe Harbor-Abkommen mit den USA zum Umgang mit personenbezogenen Daten – im vorigen Jahr durch die EU versenkt wurde, tritt nun ein „Abwehrschild“ an seine Stelle: das „USA Privacy Shield Framework“.
Dieses Privacy Shield Framework enthält Empfehlungen und Maßnahmen zur Absicherung europäischer personenbezogener Daten für US-amerikanische Unternehmen, die diese einzuhalten haben. EU-Bürgern bietet das Privacy Shield zudem Möglichkeiten, sich über Missbrauch und Verstöße zu beschweren
Die offizielle amerikanische Seite finden Sie hier.
Auf der Website können sich amerikanische Unternehmen über die Shield-Anforderungen informieren. Hier können sie sich erstmalig – und danach jährlich – beim Handelsministerium (Department of Commerce) selbst zertifizieren.
Anforderungen in 7 Punkten
Ein 7-Punkte-Plan definiert die Anforderungen an den Schutz von europäischen Personendaten. Im Wesentlichen beschreibt der die Compliance Anforderungen an das Unternehmen. So muss das Unternehmen berechtigt sein, am Privacy Shield teilzunehmen, es muss die verantwortliche Stelle (Name der Organisation, Post-Adresse, e-Mail-Adresse, Telefon- und Faxnummern) veröffentlichen (ähnlich dem bei uns bekannten öffentlichen Verfahrensverzeichnis) und eine Privacy Shield Compliance Richtlinie für das Unternehmen entwickeln. Die Anforderungen gehen bis hin zur Darstellung, welche Methode der Überprüfung (Self-Audit oder durch eine dritte Stelle) gewählt wurde sowie der Angabe einer unabhängigen Beschwerdestelle für ungelöste Beschwerden.
Dass die Vorgaben eingehalten und erfüllt werden, muss zudem überprüfbar sein und das Unternehmen bei sich eine Kontaktstelle für Anfragen einrichten. Inwieweit diese Erfüllung von Europa aus überprüfbar ist, wird die Zukunft zeigen. Mitte August jedenfalls sind noch keine US-Firmen gelistet.
Ob das gerade verabschiedete Privacy Shield Framework die im Mai dieses Jahr beschlossene neue EU-Datenschutz Grundverordnung (EU-DS-GVO) erfüllt, erschließt sich mir jedenfalls noch nicht. Auch wenn die EU-DS-GVO für Unternehmen erst ab Mai 2018 verbindlich wird, sollte das Privacy Shield schon jetzt daran gemessen werden. Auch wenn die „Art 29“-Gruppe (Gruppe der nationalen EU-Datenschutzbeauftragten) das Abkommen gerade abgesegnet hat. Die weiteren Möglichkeiten zur Übertragung von personenbezogenen Daten sind jedenfalls selten eine Alternative.
Den EU-Standardklauseln droht ebenfalls der Exitus, da sie auf dem gleichen Fundament wie das Safe Harbor Abkommen stehen.
Binding Rules meist keine Alternative
Eine Alternative sind die Binding Corporate Rules (BCR) für die meisten Unternehmen allerdings nicht, schon gar nicht kurzfristig. Hier geht es um die Möglichkeit, innerhalb eines Konzerns oder einer Gruppe die personenbezogenen Daten auf Basis der durch die Behörden individuell genehmigten BCR auch an Töchter oder Mütter in unsicheren Drittländern zu überragen.
Für Unternehmen sollten aus meiner Sicht nach wie vor bei der Übertragung von personenbezogenen oder anderen unternehmenskritischen Daten zwei elementare Regeln zu beachten:
- Wenn irgend möglich, vermeiden Sie die Übertragung von unternehmenskritischen und sensiblen Daten in die USA. Denn die USA waren und bleiben aus europäischer Sicht ein „unsicheres“ Drittland. Es sollte das Ziel sein, die Daten bei Diensten (wie z.B. E-Mail, CRM, File-Sharing, etc.) in Europa zu behalten.
- Wenn dies nicht möglich ist, weil spezielle Dienste nur in den USA angeboten werden, dann anonymisieren bzw. pseudonymisieren Sie die Daten mit speziellen Tools (z.B. Protegrity) und verschlüsseln alles mit dem neusten Stand der Technik. Der „Schlüssel“ darf dabei allerdings nicht mit übertragen werden und sollte sorgsam im eigenen Unternehmen verwaltet werden.
Für alle, diese beiden Regeln beachten, klappt es dann auch nachhaltig mit der Übertragung in die USA.
Ihr Roland von Gehlen