Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Marktplätze
Kaufland DE,CZ,SK
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Leroy Merlin
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OnlyFans
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

USA-Datenschutz nach Safe Harbor: Änderungen nach Entscheidung der Aufsichtsbehörden

28.07.2010, 11:56 Uhr | Lesezeit: 6 min
von Dr. Sebastian Kraska
USA-Datenschutz nach Safe Harbor: Änderungen nach Entscheidung der Aufsichtsbehörden

Der so genannte „Düsseldorfer Kreis“ hat im April diesen Jahres eine Entscheidung hinsichtlich der Zulässigkeit von Datentransfers von Deutschland in die USA an jene Unternehmen getroffen, die den „Safe-Harbor-Prinzipien“ beigetreten sind. Welche Auswirkungen diese Entscheidung für die Datentransferpraxis hat, soll in diesem Aufsatz erläutert werden.

 

Was ist der „Düsseldorfer Kreis“?

Der Düsseldorfer Kreis ist der Zusammenschluss der Datenschutz-Aufsichtsbehörden im Unternehmens-Bereich (so genannte „nicht-öffentliche Stellen“). Am 29. April 2010 hat der Düsseldorfer Kreis einen Beschluss hinsichtlich des Datentransfers im Rahmen des Safe-Harbor Abkommens überlassen. Der Düsseldorfer Kreis hat in dem Beschluss unter anderem verschärfte Richtlinien erlassen, die den Unternehmen weitere Pflichten bei Datentransfers an Safe-Harbor zertifizierte US-Unternehmen auferlegen.

Was gilt grundsätzlich beim Export von Daten aus Deutschland heraus?

Gemäß § 4b, c des Bundesdatenschutzgesetzes ist eine Datenübermittlung von deutschen Unternehmen an Unternehmen im Ausland solange unbedenklich, solange sich diese Unternehmen in der Europäischen Union oder im Europäischen Wirtschaftsraum (Norwegen, Island und Liechtenstein) befinden. Sollen die Daten an ein Unternehmen in einem anderen Land übertragen werden, muss gesondert geprüft werden ob die Stelle, welche die Daten erhalten soll, ein angemessenes Datenschutz-Schutzniveau aufweist (hierzu können beispielsweise im Einzelfall so genannte „EU-Standardvertragsklauseln“ oder konzernweite verbindliche Datenschutz-Regeln verwendet werden).

Banner Unlimited Paket

Angemessenes Schutzniveau für manche Länder von EU-Kommission bestimmt

Die EU-Kommission hat für die Länder Kanada, Argentinien, Schweiz, Guernsey und Isle of Man bereits das angemessene Datenschutz-Schutzniveau nach der dortigen Gesetzeslage für das ganze Land bestimmt. Soll in ein anderes Land übertragen werden, dass von der EU-Kommission nicht offiziell anerkannt wurde, muss das angemessene Schutzniveau für den Einzelfall festgestellt werden.

Sonderfall USA

Aufgrund der engen Handelsbeziehungen mit den Vereinigten Staaten wurde seitens der EU eine Sonderlösung bestimmt, obwohl gerade für die USA ein angemessenes Datenschutz-Schutzniveau durch die EU-Kommission nicht festgestellt wurde. Nach dem so genannten „Safe-Harbor-Abkommen“ ist es Unternehmen in den USA möglich, sich bei einer US-Behörde als „Unternehmen mit angemessenem Datenschutzniveau“ zertifizieren zu lassen. Die Unternehmen müssen hierbei dem „Safe-Harbor-Abkommen“ beitreten und sich den darin festgelegten Regeln zum Umgang mit personenbezogenen Daten formal unterwerfen. Der deutsche Datenexporteur darf dann Daten an dieses US-Unternehmen übermitteln (dies natürlich nur, wenn die Übermittlung auch im Übrigen datenschutzrechtlich zulässig ist).

Was galt bisher?

Bisher galt für deutsche Datenexporteure folgende Rechtslage: wenn an ein Unternehmen in den USA, das dem Safe-Harbor-Abkommen beigetreten war, Daten übermittelt werden sollten, war der Datentransfer nach § 4b, c des Bundesdatenschutzgesetzes grundsätzlich gestattet, so dass der deutsche Datenexporteur keine Sanktionen zu befürchten hatte. Durch das Safe Harbor Abkommen konnte ohne die Vereinbarung von EU-Standardvertragsklauseln oder Datenschutz-Unternehmensrichtlinien Daten übertragen werden. Auch für die Unternehmen in den USA war diese Lösung leicht: Dem Safe Harbor Abkommen beizutreten ist nur ein einmaliger Akt, der dann auf alle gewünschten Datenimporte in die USA durch das Unternehmen angewandt werden konnte.

Safe Harbor unter Beschuss

Die zehnjährige Praxis des Safe-Harbor-Abkommens zeigte jedoch aus Sicht der deutschen Datenschutz-Aufsichtsbehörden enorme Datenschutzdefizite. Insbesondere findet praktisch keine Aufsicht oder Kontrolle der Einhaltung der Safe-Harbor Bestimmungen durch die öffentliche Seite statt. Eine Studie hat Ende 2008 größere Defizite aufgedeckt und dokumentiert.
Insbesondere wurde festgestellt, dass viele Unternehmen angeben, Safe Harbor zertifiziert zu sein, ohne tatsächlich beigetreten zu sein. Daneben wurden auch die Mindestbestimmungen des Abkommens weitgehend nicht eingehalten. Auch wurde festgestellt, dass in zehn Jahren nur ein einziger Fall überhaupt von einem Gericht überprüft wurde. Faktisch war damit ein angemessenes Datenschutz-Schutzniveau gerade nicht gewährleistet.

Was ändert sich nun?

Nach dem Beschluss des Düsseldorfer Kreises müssen deutsche Unternehmen, die Daten an US-Unternehmen übermitteln, nun auch Folgendes beachten: Sollen Daten aus Deutschland in die USA exportiert werden, so sind die datenexportierenden Stellen auch dann, wenn das Daten empfangende US-Unternehmen dem Safe Harbor Abkommen beigetreten ist, zu einer aktiven Überprüfung der Einhaltung der datenschutzrechtlichen Mindeststandards verpflichtet.

Der Düsseldorfer Kreis nennt in seinem Beschluss auch, was er unter einer aktiven Überprüfung versteht:

1. Schriftlicher Nachweis über Beitritt zum Abkommen muss vorgelegt werden

Zum einen muss dem deutschen Datenexporteur ein schriftlicher Nachweis über die Tatsache vorgelegt werden, dass dem Safe-Harbor-Abkommen tatsächlich beigetreten wurde. Dieser Nachweis darf nicht älter als sieben Jahre sein und muss die wesentlichen Verpflichtungen des Safe Harbor Abkommens enthalten. Der Erhalt dieser Bescheinigung sollte sorgfältig dokumentiert werden, da die verantwortliche Stelle auf Anforderung der Datenschutzbehörden verpflichtet ist, dieses vorzulegen.

2. Nachweis über Einhaltung der Informationspflichten muss eingeholt werden

Daneben muss der deutsche Datenexporteur sich von dem potentiellen Datenempfänger auch nachweisen lassen, dass dieser seine Informationspflichten gegenüber den Betroffenen wahrnimmt, welche im Safe Harbor Abkommen selbst festgelegt werden.

Informationspflichten nach Safe Harbor

Nach diesen muss das Unternehmen die betroffenen Datensubjekte darüber informieren, zu welchem Zweck Daten erhoben werden, wie diese die Organisation bei eventuellen Nachfragen oder Beschwerden kontaktieren können, an welche Kategorien von Dritten die Daten weitergegeben werden und welche Mittel den Privatpersonen zur Verfügung gestellt werden, damit diese die Verwendung und Weitergabe der Daten einschränken können.
Auch der Nachweis, dass dies geschehen ist, muss die verantwortliche Stelle der Aufsichtsbehörde vorlegen können.

3. Verstoß gegen Safe Harbor soll der Aufsichtsbehörde angezeigt werden

Der Düsseldorfer Kreis schlägt daneben vor, einen Verstoß gegen die Safe Harbor Voraussetzungen der Aufsichtsbehörde direkt anzuzeigen. Eine Verpflichtung der Praxis kann sich dem Beschluss jedoch nicht entnehmen lassen.

Bußgelder drohen nun vermehrt auch für den deutschen Datenexporteur

Mit dem Beschluss der Aufsichtsbehörde werden dessen Empfehlungen zu faktischen Voraussetzungen für den Datentransfer in die USA. Bei Verstößen gegen das Bundesdatenschutzgesetz können Bußgelder bis zu 300.000,- Euro drohen, daneben können darüber hinaus gehende Gewinne abgeschöpft und Schadensersatzklagen erhoben werden. Das Haftungsrisiko ist damit relativ hoch.

Empfehlungen für die Praxis

Die oben angegebenen Forderungen des Düsseldorfer Kreises sollten unbedingt beachtet werden. Die Datenschutz-Aufsichtsbehörden auf Länderebene orientieren sich im Regelfall sehr stark an der Meinung des Gremiums.

Datenschutz nicht nur formal sondern auch tatsächlich gewährleisten

Um den sicheren Datenschutzstandard nicht nur formal sondern auch tatsächlich zu gewährleisten empfehlen wir den Unternehmen, noch zusätzlich datenschutzfördernde Maßnahmen zu ergreifen, beispielsweise durch die Vereinbarung von Vertragsstrafen zur Absicherung von Imageverlust durch negative Presseberichterstattung bei „Datenschutzskandalen“ (hierbei lässt sich die exakte Höhe des Schadens häufig schwer nachweisen).

Fazit

Deutsche Unternehmen, die an US-Unternehmen mit Safe Harbor Zertifizierung personenbezogene Daten exportieren, müssen nun die im Artikel beschriebenen erweiterten Regelungen beachten (Schriftlicher Nachweis über Safe Harbor Beitritt, Nachweis über Einhaltung der Informationspflichten, ggfs. Hinweispflichten gegenüber der Aufsichtsbehörde etc.).

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© creative - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

Neues Schweizer Datenschutzgesetz ab 1. September 2023: Neue Informationspflichten für Händler
(25.08.2023, 14:25 Uhr)
Neues Schweizer Datenschutzgesetz ab 1. September 2023: Neue Informationspflichten für Händler
US-Datentransfers bei Google Analytics & Co: Hoffnungsschimmer durch Datenschutzbehörde?
(01.12.2022, 08:05 Uhr)
US-Datentransfers bei Google Analytics & Co: Hoffnungsschimmer durch Datenschutzbehörde?
CH-Händler aufgepasst: Neues Schweizer Datenschutzgesetz frühestens zum September 2023
(12.07.2022, 07:46 Uhr)
CH-Händler aufgepasst: Neues Schweizer Datenschutzgesetz frühestens zum September 2023
Datenschutz im Web 2.0: Wann gilt das deutsche Bundesdatenschutzgesetz?
(14.03.2012, 07:01 Uhr)
Datenschutz im Web 2.0: Wann gilt das deutsche Bundesdatenschutzgesetz?
Datenschutz in Dubai: das “DIFC Data Protection Law”
(07.09.2011, 08:37 Uhr)
Datenschutz in Dubai: das “DIFC Data Protection Law”
Die neuen EU-Standardvertragsklauseln: Für die Auftragsdatenverarbeitung in Drittländern und die Auswirkungen auf die Praxis
(24.03.2010, 19:58 Uhr)
Die neuen EU-Standardvertragsklauseln: Für die Auftragsdatenverarbeitung in Drittländern und die Auswirkungen auf die Praxis
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei