Privacy Shield

Privacy Shield: Datentransfer zwischen EU und USA unter Datenschutzkritik
Privacy Shield – was ist das?

Der EU-US Privacy Shield war ein Abkommen zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA), das 2016 als Rechtsgrundlage für die Übertragung personenbezogener Daten in die USA diente.

Es sollte Unternehmen eine Möglichkeit bieten, Daten rechtskonform gemäß der Datenschutz-Grundverordnung (DSGVO) zu verarbeiten. Am 16. Juli 2020 erklärte der Europäische Gerichtshof (EuGH) den Privacy Shield jedoch für ungültig.

Jetzt unverbindliche Beratung anfragen

Privacy Shield – Ziele

Datenschutz sicherstellen:

Schutzmechanismen für personenbezogene Daten von EU-Bürgern in den USA etablieren.

Transatlantischen Datentransfer ermöglichen:

Eine rechtliche Grundlage für Unternehmen schaffen, die Daten zwischen der EU und den USA übermitteln.

Vertrauen stärken:

Datenschutzrichtlinien transparenter gestalten und für EU-Bürger nachvollziehbar machen.

Privacy Shield– wie funktionierte es?

Selbstzertifizierung:
US-Unternehmen konnten sich freiwillig beim US-Handelsministerium registrieren und sich zur Einhaltung der Privacy-Shield-Richtlinien verpflichten.

Überwachung durch das Handelsministerium:
Die Einhaltung der Datenschutzanforderungen wurde vom US-Handelsministerium überprüft.

Ombudsperson:
Ein unabhängiger Datenschutzbeauftragter sollte Beschwerden von EU-Bürger bezüglich der US-Datenverarbeitung prüfen.

Datenschutzgrundsätze: Unternehmen mussten sich an sieben Grundsätze halten:

  • Informationspflicht: Offenlegung, welche Daten verarbeitet werden.
  • Wahlfreiheit: Nutzer konnten der Verarbeitung widersprechen.
  • Weitergabe: Daten durften nur an Dritte weitergegeben werden, die sich ebenfalls an die Privacy-Shield-Regeln hielten.
  • Datensicherheit: Schutz vor unbefugtem Zugriff und Datenverlust.
  • Datenintegrität: Verarbeitung nur relevanter und korrekter Daten.
  • Zugangsrecht: EU-Bürger konnten ihre Daten einsehen und berichtigen lassen.
  • Rechtsdurchsetzung: Mechanismen zur Streitbeilegung mussten vorhanden sein.

Privacy Shield – warum wurde er gekippt?

Im Schrems-II-Urteil entschied der EuGH, dass der Privacy Shield nicht mit den Datenschutzstandards der EU vereinbar sei. Die Hauptgründe:

  • Mangelnder Schutz vor US-Überwachung: Geheimdienste hatten weitreichenden Zugriff auf personenbezogene Daten von EU-Bürgern (z. B. durch PRISM-Programme).
  • Fehlende rechtliche Schutzmechanismen: EU-Bürger hatten in den USA keine wirksamen Mittel, um sich gegen den Zugriff auf ihre Daten zu wehren.
  • Unzureichende Kontrolle: Die Überwachung der Einhaltung der Datenschutzregelungen war nicht ausreichend sichergestellt.

Folgen des Schrems-II-Urteils

  • Ende des Privacy Shield: Unternehmen konnten sich nicht mehr auf das Abkommen berufen, um personenbezogene Daten in die USA zu übertragen.
  • Erhöhte Rechtsunsicherheit: Viele Unternehmen mussten kurzfristig neue Lösungen für den Datentransfer finden.
  • Aufsichtsbehörden überwachen stärker: Europäische Datenschutzbehörden überprüften grenzüberschreitende Datenübertragungen verstärkt.

Privacy Shield – alternative Lösungen

Nach der Ungültigkeit des Privacy Shield mussten Unternehmen auf andere Mechanismen für den Datentransfer zurückgreifen:

  • Standardvertragsklauseln (SCCs):
    - Diese von der EU-Kommission genehmigten Vertragsklauseln regeln die Datenschutzanforderungen zwischen EU-Unternehmen und US-Dienstleistern.
    - Unternehmen müssen zusätzliche Schutzmaßnahmen wie Verschlüsselung oder Pseudonymisierung einführen.
  • Binding Corporate Rules (BCRs):
    - Datenschutzrichtlinien für unternehmensinterne Datenübertragungen, die von einer Datenschutzbehörde genehmigt werden müssen.
  • Datenspeicherung in der EU:
    - Unternehmen setzen zunehmend auf Rechenzentren innerhalb der EU, um internationale Transfers zu vermeiden.
  • Einwilligung der Nutzer:
    - Nutzer können explizit zustimmen, dass ihre Daten in die USA übertragen werden – dies muss jedoch freiwillig erfolgen und kann widerrufen werden.

Privacy Shield – Herausforderungen und Kritik

  • Hoher technischer und organisatorischer Aufwand: Unternehmen müssen alternative Datenschutzmaßnahmen umsetzen, was mit Kosten und Ressourcenaufwand verbunden ist.
  • Abhängigkeit von US-Dienstleistern: Viele europäische Firmen nutzen US-Plattformen wie Google, Microsoft oder Amazon Web Services, wodurch eine DSGVO-konforme Lösung schwierig wird.
  • Rechtliche Unsicherheiten: Es bleibt unklar, ob SCCs langfristig eine tragfähige Alternative sind oder ebenfalls rechtlich angefochten werden.

Privacy Shield – Ausblick: Ein neuer Datenschutzrahmen?

Seit dem Scheitern des Privacy Shield verhandeln die EU und die USA über eine neue Vereinbarung für den Datenaustausch. Eine Lösung müsste die Datenschutzbedenken der EU ausräumen und gleichzeitig den transatlantischen Datenverkehr ermöglichen.

Konkret

Der Privacy Shield sollte den transatlantischen Datentransfer regulieren, konnte jedoch die hohen Datenschutzanforderungen der EU nicht erfüllen. Das Schrems-II-Urteil hat gezeigt, dass alternative Lösungen erforderlich sind, um personenbezogene Daten DSGVO-konform zu schützen. Unternehmen müssen auf Standardvertragsklauseln, Binding Corporate Rules oder alternative Strategien setzen, um weiterhin Daten in die USA zu übertragen. Ob ein Nachfolgeabkommen kommt, bleibt abzuwarten.

Jetzt Kontakt aufnehmen und kostenlose Erstberatung sichern