Der Austausch von Daten mit Partnern in den USA ist weit verbreitet - auch wenn sich viele Unternehmen dessen nicht immer bewusst sind. Typische Beispiele sind das Sichern von Dateien in der Dropbox oder die Nutzung von Newsletter-Anbietern, wie Mailchimp.
Bis Anfang des vergangenen Jahres stellte der Austausch kein Problem dar, selbst wenn es sich um Daten mit Personenbezug handelte. Rechtsgrundlage für den Austausch bildete das Safe Harbor Abkommen. Allerdings zogen Datenschützer bis vor den Europäischen Gerichtshof, der das Abkommen kippte und damit viele Unternehmen in Bedrängnis brachte.
Rasch galt es eine Lösung zu finden, damit europäische und US-amerikanische Unternehmen beim Datenaustausch weiterhin miteinander kooperieren können. Die EU Kommission und das US Handelsministerium haben verhandelt und innerhalb kürzester Zeit das Privacy Shield Framework verabschiedet. Damit wurde eine neue Grundlage für den Datenaustausch geschaffen.
Privacy Shield im Detail
Die Kernidee der neuen Vereinbarung ist simpel. Es ist vorgesehen, dass sich US-Unternehmen für Privacy Shield zertifizieren lassen können. Konkrete bedeutet dies, dass ihre Prozesse entsprechend abgestimmt sein müssen, um den zugrundeliegenden Anforderungen gerecht zu werden. Liegt die Zertifizierung vor, gilt der Datenaustausch mit europäischen Unternehmen als datenschutzkonform.
Anders gesagt: Solange ein Unternehmen nicht zertifiziert ist und somit die datenschutzrechtlichen Anforderungen nach Privacy Shield nicht erfüllt, ist von einem Datenaustausch mit diesem Unternehmen abzuraten.
Unternehmen in den USA können sich ab dem 1. August zertifizieren lassen. Allerdings ist noch nicht absehbar, wie lange es dauern wird, bis die ersten Zertifizierungen abgeschlossen sind. Zumal europäische Unternehmen auch nicht automatisch davon ausgehen können, dass ihre Partner so viel Eigeninitative zeigen und eine unmittelbare Zertifizierung anstreben.
Fazit: Vertrauen ist gut, Kontrolle ist besser
Aus Sicht der Unternehmen ist die gegenwärtige Entwicklung erfreulich, die EU und die USA sind sich beim Thema Datenaustausch wieder einen großen Schritt näher gekommen. Wie gut die Umsetzung in der Praxis gelingt, bleibt jedoch abzuwarten. Außerdem ist nicht gewiss, ob Privacy Shield einer erneuten Prüfung durch den Europäischen Gerichtshof (sofern jemand Klage erhebt) standhält.
Unternehmen sollten daher vorsichtig sein. Ein Austausch mit Partnern in den USA sollte nur erfolgen, wenn diese eine entsprechende Zertifizierung nachweisen können. Alternativ ist auf andere Lösungen für den internationalen Datenschutz zurückzugreifen, wie z.B. Binding Corporate Rules. Unternehmen, die mehr hierüber erfahren und ihren Datenaustausch absichern möchten, stehen wir gerne zur Seite. Wir freuen uns daher auf Ihren Anruf oder eine Anfrage über unser Kontaktformular.