Bearbeiter: Barbara Tuma / Bearbeiter: Sabine Kriwanek
Dieser Inhalt ist frei verfügbar.
Mit einem
Abonnement der jusIT
erhalten Sie die Zeitschrift in Print und vollen digitalen
Zugriff im Web, am Smartphone und Tablet.
Mehr erfahren…
Testen Sie
ALLE 13 Zeitschriftenportale
30 Tage lang kostenlos.
Der Zugriff endet nach 30 Tagen automatisch.
DURCHFÜHRUNGSBESCHLUSS (EU) 2016/1250 gem der RL 95/46/EG über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (C(2016) 4176), ABl L 207 vom 1. 8. 2016 S 1.
Die EU-Kommission hatte 2014 Gespräche mit den amerikanischen Behörden aufgenommen, um eine Stärkung der SAFE-Harbor-Regelung zu erörtern. Nach dem Urteil EuGH 6. 10. 2015, C-362/14, Schrems (= RdW 2015/612) wurden die Gespräche intensiviert, um zu einem neuen Angemessenheitsbeschluss zu gelangen, der den Anforderungen des Art 25 RL 95/46/EG in der Auslegung durch den EuGH gerecht wird. Die Schriftstücke, die dem vorliegenden Beschluss beigefügt sind und auch im Bundesregister der USA veröffentlicht werden, sind das Ergebnis dieser Gespräche. Die Datenschutzgrundsätze (Anhang II) bilden zusammen mit den in den Anhängen I, III bis VII enthaltenen offiziellen Erklärungen und Zusagen verschiedener Behörden der USA den „EU-US-Datenschutzschild“.
Nach sorgfältiger Analyse der gängigen Praxis und offiziellen Erklärungen und Verpflichtungen in den USA ist die Kommission zu dem Schluss gelangt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Der EU-US-Datenschutzschild beruht auf einem System der Selbstzertifizierung: Amerikanische Organisationen verpflichten sich zu einem Katalog von Datenschutzgrundsätzen, die vom US-Handelsministerium herausgegeben wurden und in Anhang II des vorliegenden Beschlusses enthalten sind.
Unbeschadet der Einhaltung innerstaatlicher Vorschriften, die gem RL 95/46/EG erlassen wurden, hat der vorliegende Beschluss die Wirkung, dass die Übermittlung von Daten an Organisationen in den USA zulässig ist, wenn sich diese durch Selbstzertifizierung beim US-Handelsministerium zur Einhaltung der Grundsätze verpflichtet haben. Die Grundsätze gelten ausschließlich für die Verarbeitung personenbezogener Daten durch US-Organisationen, soweit die Verarbeitung durch diese Organisation nicht in den Anwendungsbereich des EU-Rechts fällt; der Datenschutzschild berührt nicht die Anwendung des Unionsrechts auf die Verarbeitung personenbezogener Daten in den Mitgliedstaaten.
Der Schutz der personenbezogenen Daten durch den Datenschutzschild gilt für alle Betroffenen in der EU, deren personenbezogene Daten aus der EU an selbstzertifizierte Organisationen in den USA übermittelt werden. Die Grundsätze gelten unmittelbar vom Zeitpunkt der Zertifizierung an. Eine Ausnahme bildet der Grundsatz „Verantwortlichkeit für die Weitergabe“, wenn eine Organisation dem Datenschutzschild durch Selbstzertifizierung beitritt, die bereits vorher geschäftliche Beziehungen zu Dritten unterhalten hat; diese Organisation muss dann diese geschäftlichen Beziehungen „so schnell wie möglich“ mit den entsprechenden Datenschutzregeln in Einklang bringen. In dieser Übergangszeit muss die Organisation die Grundsätze der Informationspflicht und Wahlmöglichkeit anwenden (was dem Betroffenen in der EU ein „Opt-out“ ermöglicht) und bei der Übermittlung personenbezogener Daten an einen als Beauftragten fungierenden Dritten sicherstellen, dass Letzterer zumindest das gleiche Schutzniveau vorsieht wie die Grundsätze.
Das System wird vom US-Handelsministerium auf der Grundlage der Zusagen verwaltet und überwacht, die in den Erklärungen des Handelsministers der USA dargelegt sind (Anhang I des vorliegenden Beschlusses).
Im Hinblick auf die Durchsetzung der Grundsätze haben die Federal Trade Commission (FTC) und das Verkehrsministerium Erklärungen abgegeben, die in Anhang IV und Anhang V des Beschlusses enthalten sind.
