EU-US Privacy Shield: Wird es eine Erfolgsstory für den US-Datentransfer?

von Dr. Axel Spies, veröffentlicht am 15.08.2016

Der EU-US Privacy Shield als Mechanismus für den EU-US Datentransfer ist seit gut zwei Wochen für US-Unternehmen zur Registrierung offen (siehe allgemein im Blog u.a. hier). Zuständig ist die NTIA - eine Behörde, die dem US Handelsministerium zugeordnet sind. Die NTIA war schon für das vom EuGH blockierte Safe Harbor-Programm (SH) zuständig, aber der neue Privacy Shield hat ganz andere Dimensionen.  

Was auffällt: Die veröffentlichten Informationen pro Unternehmen sind weitaus umfangreicher als unter Safe Harbor. Die Compliance ist viel aufwändiger.  Nur wenige Unternehmen haben sich für Personaldaten (HR Data) registrieren lassen. Die bislang geposteten Datenschutzregeln (Privacy Policies) der Unternehmen divergieren stark.  Vermutlich werden die Datenschutzbehörden in Europa genauer prüfen, ob die Privacy Policies alle neuralgischen Punkte in den 46-seitigen Privacy Shield Principles abdecken.

Bislang sind auf die neuen  Privacy Shield -Liste erst 40 US-Datenimporteure gelistet. Die NTIA bearbeitet derzeit rd. 200 weitere Bewerbungen. SH umfasste vor seiner Stilllegung rd. 2400 Datenimporteure. Die Zurückhaltung hat vermutlich verschiedene Gründe, wie die Unsicherheit, ob die neuen Regeln Bestand haben werden und wie aggressiv die US-Behörden bei Unzulänglichkeiten oder Verstößen Sanktionen verhängen werden. Einige Unternehmenssparten können sich auch gar nicht registrieren lassen (z.B. TK-Anbieter für ihre TK-Daten).

Was meinen Sie: Wird der Privacy Shield ein Erfolg?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

9 Kommentare

Kommentare als Feed abonnieren

Vielen Dank, Herr Spies, für die Informationen. Zu Ihrer Frage, ob das Privacy Shield ein Erfolg wird: ich denke, es ist bereits ein Erfolg! Der Erfolg beruht vor allem darauf, dass der Transfer personenbezogener Daten nur unter bestimmten Voraussetzungen möglich ist. Die Informations- und Registrierungspflichten mögen im ersten Step als umfangreicher und auch als schwerer umsetzbar gesehen werden. Allerdings gab es die Überlegungen für eine Verschärfung der Pflichten ja auch schon unter Safe Harbor, auch schon vor dem Schrems-Urteil. Die Diskussionen, die sich rund um die Umsetzung des Privacy Shields inzwischen ergeben haben, halte ich für  positiv. Ebenso die entwickelten alternativen Transfermöglichkeiten. Beides  stützt die „Erfolgsgeschichte“ des Privacy Shields. Entscheidend scheint es mir zu sein, dass alle Beteiligten den Willen haben, den Datentransfer  vom Grundsatz her zu ermöglichen, unter Einhaltung von Datenschutzrechten und- pflichten und im Dialog bleiben.

0

Aktuell steht wohl die Ankündigung einer Aufkündigung im Raum, siehe dazu die Meldung im Newsticker von Heise:

Privacy-Shield-EU-Justizkommissarin-Jourova-droht-mit-Kuendigung-3643839

0

Bei dem sogenannten Privacy-Shield handelt es sich um einen Angemessenheitsbeschluss der EU-Kommission nach Art. 25 Absatz 6 der Richtlinie 95/46/EG.

Artikel 4 dieses Angemessenheitsbeschlusses (C(2016) 4176) regelt die Überwachung der Einhaltung des angemessenen Datenschutzniveaus durch die Kommission. Nach Absatz 6 hat die Kommission Maßnahmen zur Aussetzung oder zur Änderung des Beschlusses vorzulegen, wenn die „sich die US-Behörden nicht an die Erklärungen und Zusagen halten, die in den diesem Beschluss beigefügten Schriftstücken enthalten sind und unter anderem die Bedingungen und Einschränkungen betreffen“.

Absatz 14 der von Präsident Trump am 25.1.2017 erlassenen Executive Order gibt sicher Anlass für eine Überprüfung der EU-Kommission im Sinne des Beschlusses, jedoch reicht dieser Absatz nicht aus, um Maßnahmen zur Aufhebung des Beschlusses anzustoßen. Hierfür bedarf es der Prüfung von konkreten Umsetzungsmaßnahmen dieser Aussage der EO.

Mit Blick auf die DSGVO ist anzumerken, dass Artikel 45 in Absatz 9 festhält, dass ein Angemessenheitsbeschluss, wie das Privacy-Shield, solange in Kraft bleibt, bis er durch einen neuen Beschluss der Kommission geändert, ersetzt oder aufgehoben“ wird.

Warten wir die weitere Entwicklung ab!

Update: http://www.reuters.com/article/us-eu-dataprotection-usa-idUSKBN16H2KH

Ross confirmed his support for the crucial pillars of the data transfer pact - the EU-U.S. Privacy Shield, the source briefed on the meeting said on Friday. The source said there were no indications from Ross of any plans to change Obama's privacy directive issued in January 2014.

EU Justice Commissioner Vera Jourova - whose team negotiated the Privacy Shield - will travel to Washington at the end of this month to prepare the annual review of the framework and discuss any concerns.

Erfolg für wen?

Vermutlich wissen viele Bürger deren Daten betroffen sind gar nicht davon, oder verstehen nichts davon, oder haben nicht die Macht sich in den großen etablierten Leitmedien effektiv öffentlichkeitswirksam zu "complainen".

0

Liebe Alice aus dem W..., wenn dem so ist, nehmen die "Bürger" ihr Grundrecht auf Datenschutz und Informationsfreiheit und damit ihr aktiv bestimmbares Grundrecht auf informationelle Selbstbestimmung nicht wahr. Ich will damit nicht sagen, dass es einfach ist sich zu informieren, aber es ist möglich. Die BfDI hat auf ihrer Website eine gute Informationszusammenstellung zum Privacy Shield, inkl. Fragen- und Antwortkatalog für das Einreichen einer Beschwerde. An einem Beschwerdeformular arbeiten die nationalen Aufsichtsbehörden. Bis dahin können Beschwerden über die BfDI oder die jeweiligen Landesdatenschutzaufsichten eingereicht werden.

Ich fände es gut, wenn sich viele Multiplikatoren finden, um eine aktive Wahrung des Grundrechts weiter zu tragen.

Viele Grüße

Barbara Schmitz

Siehe dazu auch hier:

https://community.beck.de/2020/07/23/schutzlos-trotz-schutzschild-privacy-shield-schrems-ii-facebook

0

Kommentar hinzufügen