5 Dinge, die Sie über die EU-US-Datenschutzschild-Vereinbarung wissen müssen

Die Datenschutzschild-Vereinbarung soll gewährleisten, dass die persönlichen Informationen von Bürgern der Europäischen Union bei der Verarbeitung in den USA denselben Datenschutz genießen wie zu Hause. Wo diese Garantien nicht verfügbar sind, müssen die Informationen in der EU bleiben.

Privacy Shield ersetzt das frühere Safe-Harbor-Abkommen, das im Oktober letzten Jahres vom Gerichtshof der Europäischen Union aufgerissen wurde, weil es keinen ausreichenden Schutz bot.

Wie bei seinem Vorgänger verlangen die US-Unternehmen von Privacy Shield, dass sie die persönlichen Daten von EU-Bürgern verarbeiten, um selbst zu bescheinigen, dass sie bestimmte Prinzipien einhalten.

Privacy Shield war bei der Europäischen Kommission kaum mehr als ein Name hat am 2. Februar das Abkommen bekannt gegeben, aber am Montag hat es Einzelheiten seiner Verhandlungen mit US-Behörden konkretisiert.

Hier sind fünf Dinge, die Unternehmen über die Prinzipien des Datenschutzschildes wissen müssen:

1. Die Anmeldung ist freiwillig; Compliance ist verpflichtend

Die Anmeldung bei Privacy Shield ist freiwillig, aber wenn sich ein Unternehmen nicht anmeldet, kann es die Daten der EU-Bürger in den USA nicht verarbeiten. Sobald ein Unternehmen registriert ist, ist die Einhaltung der Prinzipien obligatorisch von der US Federal Trade Commission.

Die teilnehmenden Unternehmen müssen ihre Datenschutzrichtlinien veröffentlichen und respektieren. Diejenigen, die ihre Versprechen nicht einhalten, können bestraft oder von der Datenschutzschild-Vereinbarung ausgeschlossen werden. Das US-Handelsministerium wird eine Liste der Unternehmen, die sich angemeldet haben, und eine weitere der ausgeschlossenen Unternehmen veröffentlichen.

2. Die nationale Sicherheit trumpft immer noch Privacy Shield

Wo die Prinzipien des Privacy Shield mit den Anforderungen der US-amerikanischen Sicherheit oder der Strafverfolgung kollidieren, können Sie Privacy Shield vergessen. In Artikel 5 der Vereinbarung heißt es: "Die Einhaltung dieser Grundsätze kann eingeschränkt werden: (a) soweit dies zur Erfüllung der nationalen Sicherheitsanforderungen, des öffentlichen Interesses oder der Strafverfolgung erforderlich ist; (b)
durch Gesetz, Regierungsverordnung oder Rechtsprechung, die widersprüchliche Verpflichtungen oder ausdrückliche Genehmigungen schafft. "

3. Massenüberwachung ist immer noch erlaubt

Auch wenn seine Offenheit für eine Massenüberwachung der Kommunikations- und Online-Aktivitäten der EU-Bürger eines der Dinge war, die Safe Harbor zum Einsturz brachten, sind solche Überwachungsaktivitäten unter Datenschutzschild weiterhin erlaubt. Das EU-Merkblatt behauptet, dass "die US-Behörden das Fehlen einer wahllosen oder massenhaften Überwachung bestätigen", aber US-Dokumente, die Teil des Abkommens sind, behaupten nichts dergleichen. Die USA erlauben sich immer noch, Massenüberwachung für sechs Zwecke durchzuführen: bestimmte Aktivitäten ausländischer Mächte aufzuspüren und ihnen entgegenzuwirken; Anti-Terrorismus; Gegenproliferation; Internet-Sicherheit; Aufdeckung und Abwehr von Bedrohungen für die Streitkräfte der USA oder der Alliierten und Bekämpfung grenzüberschreitender krimineller Bedrohungen, einschließlich der Umgehung von Sanktionen.

4. Die Unternehmen haben 45 Tage Zeit, zu antworten …

Wenn sich ein EU-Bürger über die Behandlung seiner persönlichen Daten unter dem Datenschutzschild beschwert, haben die Unternehmen 45 Tage Zeit, um ihre Beschwerde zu beantworten. Wenn die Antwort keine Befriedigung bringt, kann der Beschwerdeführer auf eine Reihe anderer Abwicklungsmechanismen zurückgreifen, einschließlich eines kostenlosen alternativen Streitbeilegungsdienstes und einer eigenen nationalen Datenschutzbehörde.

5 … aber noch nicht

Die Europäische Kommission hat bei der Ankündigung von Privacy Shield am 2. Februar die Initiative ergriffen, da viele der schriftlichen Versprechungen der USA, von denen das Abkommen abhängt, erst in den nächsten drei Wochen eintreffen. Am 29. Februar veröffentlichte die Kommission diese Dokumente zusammen mit dem Entwurf eines "Angemessenheitsbeschlusses", dem Rechtsinstrument, mit dem die Bestimmungen des Datenschutzschildes dem Schutz durch das EU-Recht gleichgestellt werden.

Der Entwurf des Angemessenheitsbeschlusses steht den Regierungen und Datenschutzbehörden der 28 EU-Mitgliedstaaten noch immer offen und muss jährlich überprüft werden, um sicherzustellen, dass alle Parteien die Verpflichtungen, auf denen sie beruht, weiterhin einhalten. Wenn dies nicht der Fall ist, kann es theoretisch suspendiert werden.