Privacy Shield erklärt: Datentransfer zwischen EU und USA in der Kritik

Privacy Shield

Was ist der Privacy Shield?

Der EU-US Privacy Shield war ein Abkommen zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA), das den Datenaustausch zwischen diesen beiden Regionen regeln sollte. Es wurde im Juli 2016 eingeführt, um die rechtlichen Anforderungen der DSGVO zu erfüllen und Unternehmen eine Grundlage für den sicheren Transfer personenbezogener Daten von der EU in die USA zu bieten.

Am 16. Juli 2020 wurde der Privacy Shield jedoch durch das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) für ungültig erklärt.

Ziele des Privacy Shield

Datenschutz sicherstellen:
- Datenschutzstandards für personenbezogene Daten von EU-Bürger:innen gewährleisten, die in den USA verarbeitet werden.
Transatlantischen Datenverkehr ermöglichen:
- Unternehmen eine rechtliche Grundlage für die Datenübertragung schaffen.
Vertrauen stärken:
- Datenschutzrichtlinien transparenter und für EU-Bürger:innen nachvollziehbarer machen.

Funktionsweise des Privacy Shield

Selbstzertifizierung:
- Unternehmen in den USA konnten sich freiwillig beim US-Handelsministerium zertifizieren lassen und sich verpflichten, die Datenschutzanforderungen des Privacy Shield einzuhalten.
Kontrolle durch das Handelsministerium:
- Das US-Handelsministerium war für die Überwachung der Einhaltung verantwortlich.
Datenschutzgrundsätze:
- Die zertifizierten Unternehmen mussten sieben Datenschutzgrundsätze einhalten:
  - Informationspflicht: Transparenz darüber, wie Daten verwendet werden.
  - Wahlfreiheit: Nutzer:innen konnten der Datenverarbeitung widersprechen.
  - Weitergabe: Daten konnten nur an Dritte weitergegeben werden, die ebenfalls die Privacy-Shield-Grundsätze einhielten.
  - Datensicherheit: Schutz vor unbefugtem Zugriff.
  - Datenintegrität: Sicherstellung, dass Daten korrekt und relevant bleiben.
  - Zugangsrecht: EU-Bürger:innen hatten das Recht, auf ihre Daten zuzugreifen und diese zu korrigieren.
  - Rechtsdurchsetzung: Mechanismen zur Beilegung von Streitigkeiten.
Ombudsperson:
- Eine unabhängige Ombudsperson wurde ernannt, um Beschwerden von EU-Bürger:innen bezüglich des Zugriffs durch US-Behörden zu prüfen.

Kritik am Privacy Shield

Mangelnder Schutz vor US-Überwachung:
- Die US-Geheimdienste hatten weitreichenden Zugriff auf Daten, insbesondere durch Programme wie PRISM.
Fehlender Rechtsschutz für EU-Bürger:innen:
- EU-Bürger:innen hatten keine Möglichkeit, sich effektiv gegen den Missbrauch ihrer Daten durch US-Behörden zu wehren.
Unzureichende Kontrollmechanismen:
- Die Einhaltung der Datenschutzanforderungen durch die Unternehmen wurde nicht ausreichend überwacht.

Schrems-II-Urteil und das Ende des Privacy Shield

Der Europäische Gerichtshof (EuGH) erklärte am Privacy Shield 16. Juli 2020 im Schrems-II-Urteil das Privacy Shield für ungültig. Die Hauptgründe waren:

Unvereinbarkeit mit der DSGVO:
- Das Datenschutzniveau in den USA entsprach nicht den Anforderungen der DSGVO.
Fehlende Schutzmaßnahmen:
- Die Überwachungspraktiken der US-Geheimdienste widersprachen den Grundrechten der EU-Bürger:innen.
Ungenügender Rechtsschutz:
- EU-Bürger:innen hatten keine ausreichenden rechtlichen Mittel, um ihre Rechte geltend zu machen.

Auswirkungen des Urteils

Datenübertragung in die USA:
- Unternehmen konnten sich nicht mehr auf das Privacy Shield berufen, um personenbezogene Daten in die USA zu übertragen.
Auswirkungen Rechtsunsicherheit:
- Das Urteil führte zu Unsicherheiten bei Unternehmen, die auf transatlantische Datenübertragungen angewiesen waren.
Erhöhter Aufwand:
- Unternehmen mussten alternative rechtliche Mechanismen für den Datentransfer einsetzen, wie z. B. Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCRs).
Aufsichtsbehörden:
- Europäische Datenschutzbehörden überprüften verstärkt internationale Datenübertragungen.

Alternativen nach dem Wegfall des Privacy Shield

Standardvertragsklauseln (SCCs):
- Von der EU-Kommission genehmigte Klauseln, die Unternehmen verpflichten, den Datenschutz gemäß der DSGVO einzuhalten.
- Diese müssen durch zusätzliche technische und organisatorische Maßnahmen ergänzt werden.
Binding Corporate Rules (BCRs):
- Interne Richtlinien für konzerninterne Datenübertragungen, die von einer Datenschutzbehörde genehmigt werden müssen.
Datenspeicherung in der EU:
- Speicherung und Verarbeitung von Daten ausschließlich innerhalb der EU, um den Datentransfer in Drittländer zu vermeiden.
Einwilligung:
- Betroffene können der Datenübertragung ausdrücklich zustimmen, wobei die Einwilligung jederzeit widerrufbar ist.

Herausforderungen und Kritik

Technische Umsetzung:
- Unternehmen müssen erhebliche Ressourcen investieren, um alternative Mechanismen umzusetzen.
Abhängigkeit von US-Diensten:
- Viele europäische Unternehmen nutzen Dienste von US-Anbietern, was die Einhaltung der DSGVO erschwert.
Rechtsunsicherheit:
- Es bleibt unklar, ob alternative Mechanismen wie SCCs langfristig Bestand haben.

Fazit

Der Privacy Shield war ein Versuch, den transatlantischen Datenaustausch rechtssicher zu gestalten, scheiterte jedoch an den hohen Datenschutzstandards der EU. Das Schrems-II-Urteil hat gezeigt, dass umfassende Reformen im internationalen Datenschutz notwendig sind. Unternehmen müssen jetzt auf alternative Mechanismen wie Standardvertragsklauseln setzen und sicherstellen, dass die Verarbeitung personenbezogener Daten DSGVO-konform bleibt. Die Diskussion über einen möglichen Nachfolger des Privacy Shield ist weiterhin im Gange.