81
09/16 personalmagazin
Bei Fragen wenden Sie sich bitte an
NICOLAS ROGGEL
ist
Rechtsanwalt und Partner
bei der Kanzlei K&L Gates in
Berlin.
Um den Vorgaben des Privacy Shield nachzukommen, müssen sich US-Organisati-
onen selbst verpflichten, sieben Grund- und 16 ergänzende Prinzipien des Daten-
schutzes einzuhalten. Die Grundprinzipien werden im Folgenden dargestellt.
Notice Principle
Weitreichende Informationspflichten gegenüber den betroffenen Individuen, unter
anderem in Bezug auf die Selbstverpflichtung unter dem EU-US-Privacy-Shield im Allge-
meinen und auch auf den Verwendungszweck der transferierten personenbezogenen
Daten im Konkreten.
Choice Principle
Das Gewähren von Wahlrechten („opt-out“) bei einer möglichen anderweiten Nutzung
der personenbezogenen Daten oder aber bei einer Weiterleitung der relevanten Daten
an Dritte.
Accountability for Onward Transfer Principle
Fortlaufende Verantwortung für die personenbezogenen Daten einschließlich für den
Fall der Weiterleitung der personenbezogenen Daten an Dritte.
Security Principle
Die Verpflichtung zur Gewährleistung eines erforderlichen und angemessenen Datensi-
cherheitsstandards.
Data Integrity and Purpose Limitation Principle
Die Pflicht zur Sicherung und Einhaltung der Datenintegrität und zur Einhaltung der
Zwecklimitierung.
Access Principle
Die Verpflichtung, den Zugriff auf die persönlichen Daten durch den Betroffenen zu
gewährleisten.
Recourse, Enforcement and Liability Principle
Die Gewährung von Regressmöglichkeiten im Sinne eines effektiven und zeitnahen
Rechtsschutzes inklusive im Zweifel erforderlicher Durchsetzungsmaßnahmen.
Die sieben Grundprinzipien
EU-US PRIVACY SHIELD
tig ausgeräumt. Insbesondere die Rechts-
schutzmöglichkeiten, die entweder über
die Europäischen Datenschutzbehörden
oder aber über private Anbieter gewähr-
leistet werden sollen, können – bezogen
auf den US-Rechtsraum – in Sachen
Rechtsstaatlichkeit zumindest infrage
gestellt werden.
Problematisch wird zudem die Be-
urteilung nach der Datenschutzgrund-
verordnung sein, die ja ab dem 25. Mai
2018 in Kraft treten wird. Neue, in der
Datenschutzgrundverordnung vorgese-
hene Kategorisierungen sind im Privacy
Shield nicht berücksichtigt und machen
doch zumindest eine Erweiterung der
ergänzenden Prinzipien erforderlich.
Entsprechend werden EU-Kommission
und Vertreter der USA zwingend kurz-
fristig wieder Neuverhandlungen auf-
nehmen müssen. Dadurch müssen beide
Seiten dann ein EU-US-Privacy-Shield
2.0 verhandeln, um den Datentransfer
von personenbezogenen Daten aus EU-
Mitgliedsstaaten in die USA auch über
den 25. Mai 2018 hinaus ermöglichen
zu können.
Das neue Privacy Shield als
Zwischenlösung nutzen
Nach dem Wegfall des Safe-Harbor-Ab-
kommens benötigte die wirtschaftliche
und auch politische Realität eine schnel-
le Lösung, die den transatlantischen Da-
tentransfer in der Praxis ermöglicht. Im
Vergleich zu der vom EuGH kassierten
Vereinbarung ist die richtige Tendenz
im Privacy Shield auch erkennbar. In der
Zeit unmittelbar vor Inkrafttreten der
Datenschutzgrundverordnung, die das
Datenschutzregime in der EU voraus-
sichtlich erheblich auf den Kopf stellen
dürfte, war ein nachhaltiges Abkommen
zwischen EU und den USA einstweilen
quasi unmöglich. Insbesondere der vom
EuGH verursachte Zeitdruck verhin-
derte eine solch nachhaltige Lösung.
Die nun bestehende Zwischenlösung
muss jedoch innerhalb der kommenden
eineinhalb Jahre noch deutlich nachge-
bessert beziehungsweise überarbeitet
werden.
Diese Zwischenlösung kann und sollte
als solche genutzt werden. Schließlich
dürfte die im Zusammenhang mit der
Datenschutzgrundverordnung kommen-
de Nachfolgeregelung mit hoher Wahr-
scheinlichkeit eine Weiterentwicklung
des Privacy Shield sein. Und: Sie wird die
Arbeiten zur Selbstverpflichtung nicht
obsolet machen.
HR muss die rechtlichen Mittel für
den Datentransfer prüfen
In jeder Personalabteilung sollte nun
eruiert werden, ob ein regelmäßiger
Transfer von personenbezogenen Ar-
beitnehmerdaten in die Vereinigten
Staaten erforderlich ist, mithin also, ob
regelmäßige Übermittlungen an Kon-
zerngesellschaften oder Dienstleister
jenseits des Atlantiks vorzunehmen
sind. Auch wenn „Binding Corporate
Rules“ bestehen beziehungsweise Un-
ternehmen Standardvertragsklauseln
nutzen, sollte dennoch kritisch abgewo-
gen werden, ob das Privacy Shield die
rechtssichere Alternative ist – wenn
auch nur als Zwischenlösung.
