Seit dem Scheitern des „Safe Harbor“-Abkommens besteht eine ständige Unsicherheit was einen rechtmäßigen Datentransfer in die USA betrifft. Der GDD-Arbeitskreis „Datenschutz International“ versucht nun mit einem Whitepaper, das auch die aktuellsten Ereignisse berücksichtigt, Licht ins Dunkel zu bringen.
PRIVACY SHIELD
Das Whitepaper setzt sich insbesondere mit dem Folgeabkommen EU-US Privacy Shield auseinander und klärt die aktuelle Situation. Was passiert wenn es inkraft tritt. Welche Beschwerdemaßnahmen und Abhilfen wird es geben? Wer wird de Einhaltung überprüfen? Wie steht es um „Onward Transfers“? Das Whitepaper liefert hier die Antworten auch unter Inbetrachtnahme der erst vor wenigen Tagen erschienenen Stellungnahme der Artikel-29-Datenschutzgruppe.
BCR UND EU-STANDARVERTRAGSKLAUSELN
Wie das Whitepaper erklärt wurden diese alternativen Wege für datenschutzkonforme Übermittlung personenbezogener Daten in die USA keiner abschließenden Prüfung unterzogen. Hier galten bisher immer nur Schonfristen. Dabei ist nicht zu vergessen, „dass derzeit lediglich 10 von insgesamt 17 Datenschutzaufsichtsbehörden in Deutschland sich die Genehmigung von Datenübermittlungen auf Grundlage von BCRs vorbehalten haben. Darüber hinaus kann nicht ausgeschlossen werden, dass Bürger gegen Datenübermittlungen in die USA auf der Grundlage von Standardvertragsklauseln klagen, und die Frage der Zulässigkeit letztlich beim EuGH beurteilt werden wird.“
DIE EMPFEHLUNG DER GDD-ARBEITSGRUPPE
Die Arbeitsgruppe empfiehlt ganz klar: Solange Privacy Shield nicht vollständig implementiert ist sind vor allem folgende drei Punkte zu beachten:
1. Beobachten Sie, wie die Aufsichtsbehörden sich zum Thema BCR/EU-Standardvertragsklauseln und datenschutzkonformem Datentransfer äußern.
2. Erweitern Sie Ihre Technischen- und Organisatorischen Maßnahmen (TOMs) um weitere Punkte wie „Verschlüsselung“.
3. Um auch dem Thema „Onward Transfers“ gerecht zu werden, sollten Sie bereits jetzt mit der Dokumentation der Unterauftragsnehmer beginnen, „da für Datenexporte auf Grundlage des EU-US Privacy Shields zukünftig vergleichbar strenge Anforderungen gelten werden.“