Der Datenaustausch mit den USA
 

Der Datenaustausch mit den USA

Personenbezogene Daten dürfen ins Ausland (d.h. in Länder außerhalb des EWR) nur dann ohne Weiteres exportiert werden, wenn dort angemessener Datenschutz besteht.

Da dies in den USA nicht der Fall ist, müssen bei einem Datenexport die Regeln der Artikel 44 bis 49 der Datenschutz-Grundverordnung (GVO) eingehalten werden. Dieses Regelsystem lässt sich kurz wie folgt zusammenfassen:

Zunächst ist der Datentransfer jedenfalls zulässig, wenn die Betroffenen zum Export ausdrücklich zugestimmt haben oder mit dem Exporteur einen Vertrag geschlossen haben, für dessen Erfüllung der Datenexport in die USA erforderlich ist – ein gutes Beispiel wäre das Reisebürogeschäft, in dem das Reisebüro Kundendaten an Hotels, Mietwagenfirmen etc. in die USA übermitteln muss, um die vom Kunden gewünschte Reise in die USA zu organisieren.

Sofern weder die Zustimmung noch ein Vertrag vorliegen, muss – von den Ausnahmefällen geringfügigen Datenexports nach Art. 49 Abs. 1, 2. Unterabsatz GVO abgesehen -  mit dem Empfänger der Daten in den USA eine besondere Vereinbarung geschlossen werden, wodurch er bestimmte datenschutzrechtliche Verpflichtungen übernimmt. Hiefür hat die EU-Kommission Vertragsmuster entwickelt, sog. „Standardvertragsklauseln“, die im Amtsblatt der EU veröffentlicht sind: Wer diese Vertragsmuster verwendet, ist „auf der sicheren Seite“. Derzeit muss in Österreich trotzdem noch eine Genehmigung der Datenschutzbehörde eingeholt werden – dies wird aber ab Inkrafttreten der GVO am 25. Mai 2018 nicht mehr notwendig sein.

Für Unternehmen, die einem internationalen Konzern angehören, käme auch die Erarbeitung von konzerninternen Datenschutz-Richtlinien („binding corporate rules“, BCR) in Frage. Wenn diese von den zuständigen Datenschutzbehörden als geeignet befunden wurden – dafür gibt es gemäß Art. 47 GVO ein eigenes Verfahren – ist der internationale Datenverkehr im Konzern, und zwar auch mit Konzernfirmen in den USA, ohne weitere Verträge oder Genehmigungen zulässig.

Für die USA gibt es jedoch zusätzlich noch ein Sonderregime, genannt „Privacy Shield“: Aufgrund eines Abkommens zwischen EU und USA dürfen personenbezogene Daten dann ohne besondere Einzelverträge oder Genehmigungen an Empfänger in den USA exportiert werden, wenn der Empfänger Mitglied im „Privacy Shield“ ist. Ob das der Fall ist, kann jederzeit anhand einer im Internet einsehbaren Liste des US Handelsministeriums beurteilt werden, in der alle Unternehmen eingetragen sind, die sich verpflichtet haben, die Datenschutzgrundsätze des „Privacy Shield“ einzuhalten. Die Überwachung der Einhaltung dieser Selbstverpflichtungen durch US Unternehmen obliegt der US Federal Trade Commission (FTC). Europäische Bürger können aber auch die eigene nationale Datenschutzbehörde mit einer Beschwerde befassen, die sich dann ihrerseits mit den US-amerikanischen Stellen auseinandersetzt. Schließlich ist es im Rahmen des „Privacy Shield“ auch möglich, sich gegen den Zugriff von US-Behörden auf „Privacy-Shield-Daten“ zur Wehr zu setzen, indem ein spezieller Ombudsman angerufen werden kann, der Beschwerden untersucht und das Ergebnis mitteilt.

Ganz allgemein wurde durch die 2016 in den USA erlassene „Judicial Redress Bill“ die Möglichkeit geschaffen, dass auch EU-Bürger Klage vor einem US-Gericht erheben können gegen US-Behörden wegen gesetzwidriger Verwendung personenbezogener Information. Damit ist ein wesentlicher Schritt getan zur Verbesserung des Rechtsschutzes im Bereich des Datenaustausches mit US-Behörden zum Zweck der Terrorismusbekämpfung.
stats