Das Privacy Shield-Abkommen zwischen der EU und den USA regelte die Übermittlung personenbezogener Daten von der EU in die USA von 2016 bis 2020. Diese Vereinbarung wurde im Juli 2020 für nichtig erklärt (Urteil Schrems II), weil der Datenschutz gemäß RGPD nicht garantiert werden kann. Bis zum Inkrafttreten neuer Vorschriften unterliegen Unternehmen strengeren Maßnahmen . Wenn sie eine Bestrafung vermeiden wollen, müssen sie den Datenschutz in den USA verbessern.

1. Die aktuelle Situation: Welche Auswirkungen hat das Ende der Privacy Shield-Vereinbarung?
2. Was ist das Privacy Shield-Abkommen zwischen der EU und den USA?
3. Inhalt und allgemeine Bedingungen des Datenschutzschilds
4. Datenschutzschild: Vor- und Nachteile
5. Die praktische Anwendung des Privacy Shield
6. Fazit: eine Übergangsregelung ohne solide Grundlage.

Obwohl der Datenschutzschild für nichtig erklärt wurde, können Unternehmen weiterhin personenbezogene Daten in die USA exportieren. Zu diesem Zweck können sie weiterhin die EU-Standardvertragsklauseln (SCC) verwenden. KMU, die sich bisher auf dieses Abkommen gestützt haben, können sich nun Standard-EU-Vertragsklauseln oder anderen Alternativen zuwenden . Einige Unternehmen müssen verbindliche Unternehmensregeln (BCR) berücksichtigen.

Nach dem Schrems II-Urteil bedeutet die Verwendung von Standardvertragsklauseln jedoch die Einhaltung strengerer Vorschriften : Unternehmen müssen zusätzliche Maßnahmen einführen und grundsätzlich jede Datenübertragung als besonderen Fall behandeln und sicherstellen, dass jede Land verfügt über ein ausreichendes Datenschutzniveau. Wenn diese Bedingung beispielsweise aufgrund der Sicherheitsvorschriften in diesem Land nicht erfüllt ist, ist das Unternehmen verpflichtet, die Datenübertragung einzustellen.

Darüber hinaus unterliegen diese Standardklauseln der Überprüfung durch europäische Datenschutz- und Aufsichtsbehörden . Wenn die rechtliche Situation eines Landes den Empfänger der Daten daran hindert, seinen Verpflichtungen aus den Standardklauseln nachzukommen, kann die Datenübertragung unterbrochen oder sogar verboten werden. Der gesamte Prozess muss bei der Analyse des Datenschutzniveaus berücksichtigt werden. Es muss jederzeit sichergestellt sein, dass beispielsweise die Justiz- oder nationalen Sicherheitsbehörden des Gastlandes keinen Zugang zu personenbezogenen Daten haben.

In der gegenwärtigen Situation ist die Einzelfallbewertung für KMU besonders schwierig, da sie normalerweise nicht über das technische Wissen und die Mittel verfügen, um im Detail zu überprüfen, ob beispielsweise in einem Drittland ein angemessenes Datenschutzniveau besteht . Darüber hinaus legt das EuGH-Urteil nicht genau fest, welche Regeln speziell für Einzelfallbewertungen oder mögliche Erweiterungen von Standardvertragsklauseln gelten.

KMU sollten sich weiterhin aktiv mit dem Thema befassen. Rechtsexperten empfehlen , die größtmöglichen Vorsichtsmaßnahmen zu treffen und die geltenden Datenschutzverfahren detailliert zu dokumentieren . Unternehmen werden somit auf einen möglichen Rechtsstreit vorbereitet sein und ihre eigenen Handlungen vor Gericht besser verteidigen können, sobald der Datenschutzschild beendet ist.

Eine konkrete Schutzmaßnahme besteht darin, die formalen Aspekte der allgemeinen Datenschutzklauseln sorgfältig anzuwenden (z. B. durch eine detaillierte Beschreibung der Datenflüsse). Darüber hinaus sollten nur unbedingt notwendige personenbezogene Daten erhoben und übermittelt werden. Darüber hinaus empfehlen Rechtsexperten, eine fundierte und gut dokumentierte Risikoanalyse durchzuführen , die relevante Themen berücksichtigt. Beispielsweise sollte die rechtliche Situation in den USA oder in Ländern außerhalb der EU gründlich analysiert und die Wahrscheinlichkeit eines unbefugten Zugriffs auf Daten bewertet werden.

Darüber hinaus sollte geklärt werden, ob der Empfänger der Daten angesichts der aktuellen Situation zusätzliche vertragliche Verpflichtungen übernimmt (z. B. erhöhte Überwachungs- und Berichtspflichten). In der gegenwärtigen Situation könnten Unternehmen auch von ihren Geschäftspartnern und Dienstleistern in den USA verlangen, alle verfügbaren technischen Mittel einzusetzen, um den Datenschutz zu optimieren – beispielsweise die Verwendung der End-to-End-Verschlüsselung in einem Videokonferenzsoftware.

Wer in Drittländern außerhalb der EU auf Datenübertragungen, Cloud-Dienste und Server verzichten kann, sollte in der EU nach Alternativen suchen, die den Bestimmungen der Allgemeinen Datenschutzverordnung (DSGVO) entsprechen . Darüber hinaus sollten sie die Entwicklungen in Bezug auf die Datenschutzgesetze genau überwachen . Der Europäische Datenschutzausschuss (CEPD) berichtet in seinen häufig gestellten Fragen zur Entscheidung des EuGH über das Privacy Shield-Abkommen über die aktuelle Situation.

Der Datenschutzschild wurde Mitte 2016 offiziell als Nachfolger des Safe-Harbor- Datenübertragungsabkommens zwischen der Europäischen Union und den USA eingeführt. Ziel des Abkommens war es, die Daten der europäischen Bürger zu schützen, die von in den USA ansässigen Unternehmen gespeichert und verarbeitet werden, nachdem sie in dieses Land übertragen wurden. Dies bezieht sich ausschließlich auf personenbezogene Daten , die beispielsweise weitgehend im Online-Handel erhoben werden. Zu den personenbezogenen Daten zählen unter anderem Telefonnummern, Kundennummern, Kreditkarten, Kontodaten, physische Erscheinungen oder Adressen von EU-Bürgern.

Der Nachfolger des Safe-Harbor-Abkommens trat nach einer Entscheidung des EuGH im Juli 2020 außer Kraft . Im sogenannten Schrems II-Urteil vom 16. Juli 2020 regelt der EuGH, dass das in der RGPD geforderte Sicherheitsniveau bei in den USA gespeicherten und verarbeiteten personenbezogenen Daten nicht erreicht wird .

Damit hob der EuGH auch die Angemessenheitsfeststellung der Europäischen Kommission auf , die wiederholt bestätigte, dass die USA über ein ausreichendes Datenschutzniveau verfügen. Das Urteil des EuGH folgte einer Klage des Datenschutzexperten Maximilian Schrems , die bereits mit einer früheren Klage zum Ende des Safe-Harbor- Abkommens geführt hatte . Der Österreicher wollte Facebook Irland verbieten, seine persönlichen Daten in die USA zu übertragen, und hatte eine Beschwerde bei der irischen Datenschutzbehörde eingereicht. Als der irische High Court of Justice kein Verfahren einleitete, verklagte ihn Schrems. Im zweiten Fall verwies die irische Datenschutzbehörde die Angelegenheit zur rechtlichen Überprüfung an den Gerichtshof der Europäischen Union, wodurch schließlich das Privacy Shield-Abkommen zwischen der EU und den USA aufgehoben wurde.

Der Nachfolger von Safe Harbor basierte auf speziellen Datenschutzmaßnahmen und -bestimmungen, die von den USA befolgt werden mussten. Ein wichtiges Element war, dass amerikanische Unternehmen für den Privacy Shield zertifiziert werden konnten . Nachdem sich ein US-Unternehmen freiwillig den Bedingungen der Vereinbarung unterworfen hatte, wurde vom US-Handelsministerium eine Inspektion durchgeführt. Nachdem ein Unternehmen den Prozess erfolgreich abgeschlossen hatte, wurde sein Name in eine frei zugängliche Datenbank aufgenommen. Zum Ende der Vereinbarung umfasste die Liste insgesamt 5.384 Organisationen .

Das Privacy Shield-Abkommen zwischen der EU und den USA garantierte den EU-Bürgern breite Rechte, als ihre persönlichen Daten an zertifizierte Unternehmen in den USA übertragen wurden. EU-Bürger könnten sich direkt an US-Unternehmen wenden, um ihre Rechte geltend zu machen. Diese Unternehmen mussten innerhalb von 45 Tagen auf Bürgeranfragen reagieren. Die im Datenschutzschild garantierten Rechte waren folgende:

• Recht auf Information
• Rechtsmittel (Einspruch gegen die Datenverarbeitung kann bei Bedarf erhoben werden)
• Recht auf Korrektur ungenauer Daten
• Recht auf Löschung von Daten
• Beschwerdeverfahren waren verfügbar

Um die Einhaltung der Vereinbarung und den Schutz ihrer Rechte sicherzustellen, könnten sich EU-Bürger auch an einen Bürgerbeauftragten im US-Außenministerium wenden . Der Bürgerbeauftragte musste von allen Geheimdiensten unabhängig sein, die Forderungen des Einzelnen untersuchen und in bestimmten Fällen Auskunft darüber geben, ob die geltenden Rechtsvorschriften eingehalten wurden. Die Stelle war jedoch zunächst vakant und wurde trotz des Bestehens der EU erst 2018 besetzt . Manisha Singh arbeitete zunächst als Bürgerbeauftragter, gefolgt von Keith Krach im Juni 2019.

Alternativ könnten sich EU-Bürger auch an ihre jeweiligen nationalen Datenschutzbehörden wenden, die sich zur weiteren Klärung an die US-amerikanische Federal Trade Commission (FTC) wenden könnten. Das Schiedsverfahren mit einem vollstreckbaren Schiedsspruch war das letzte Mittel, falls keine Einigung erzielt wurde. Alle Unternehmen könnten auch gemäß den Empfehlungen der europäischen Datenschutzbehörden handeln . Die Unternehmen, die personenbezogene Daten auf die gleiche Weise verarbeiten, sind dazu verpflichtet.

Voraussetzung für die Gültigkeit des Privacy Shield-Abkommens war eine Angemessenheitsentscheidung der Europäischen Kommission, mit der bestätigt wurde , dass die Vereinigten Staaten über angemessene Datenschutzbestimmungen für die Speicherung und Verarbeitung personenbezogener Daten aus der EU verfügen. Die Angemessenheitsentscheidung 2016 wurde jährlich überprüft und erneuert, wenn das erforderliche Datenschutzniveau erreicht wurde . Die Europäische Kommission und das Handelsministerium der Vereinigten Staaten führten die Überprüfung gemeinsam durch, auch unter Beteiligung von Fachleuten. Das Verfahren führte zu einem öffentlichen Bericht, der dem Europäischen Parlament und dem Rat vorgelegt wurde.

Trotz dieser umfangreichen Datenschutzmaßnahmen bestand keine Gewissheit, dass es keine Massenüberwachung gab. Die Vereinigten Staaten könnten noch Daten für sechs Zwecke sammeln, die bei genauer Betrachtung Raum für Interpretationen lassen:

• Der Kampf gegen den Terrorismus
• Die Offenbarung der Aktivitäten ausländischer Mächte
• Bekämpfung der Verbreitung von Massenvernichtungswaffen
• Onlinesicherheit
• Schutz der USA und der Alliierten
• Bekämpfung internationaler krimineller Bedrohungen

Das breite Recht der europäischen Bürger , bei Datenschutzverletzungen durch US-Unternehmen Beschwerden bei verschiedenen Stellen einzureichen, war einer der Vorteile des Privacy Shield-Abkommens. Ein wichtiger Bestandteil war auch das Zweckbegrenzungsprinzip . Die Daten konnten nur zu einem im Voraus klar definierten und gesetzlich zulässigen Zweck erfasst und verarbeitet werden.

Das Privacy Shield-Abkommen zwischen der EU und den USA wurde jedoch von Anfang an abgelehnt . Für Kritiker war die Vereinbarung nicht breit genug. Sie machten geltend, dass die Anforderungen des EuGH nicht ausreichend erfüllt und viele Unstimmigkeiten verborgen worden seien. Da die Position des Bürgerbeauftragten dem Außenministerium übertragen wurde , waren Kritiker der Ansicht, dass das Abkommen keine institutionelle Unabhängigkeit aufweist, und interpretierten es als Konflikt mit den grundlegenden Datenschutzbestimmungen (Artikel 52 Absatz 1 der DSGVO). Sie kritisierten auch die Tatsache, dass die betroffenen EU-Bürger keine rechtlichen Schritte gegen die Entscheidungen des Büros des Bürgerbeauftragten einleiten konnten.

Ein weiterer Hauptkritikpunkt war, dass die Massenüberwachungsmaßnahmen keiner Verhältnismäßigkeitsprüfung unterzogen wurden und daher gegen europäisches Recht verstießen. Die Vereinigten Staaten blieben die zentrale Aufsichtsbehörde, und es gab keine Hinweise auf eine Untersuchung durch die Aufsichtsbehörden. Kritiker verpassten auch eine dringende Überprüfung der großen amerikanischen Online-Unternehmen.

Infolge dieser Mängel gingen Kritiker und Experten davon aus, dass die Vereinbarung einer eingehenden Überprüfung durch den EuGH nicht standhalten würde und daher keine dauerhafte Lösung darstellt. Auf geringfügige Unterschiede zum Safe-Harbor-Abkommen wurde wiederholt hingewiesen. Zahlreiche Kritiker prangerten an, dass die Privacy Shield-Vereinbarung die Mängel des bisherigen Gesetzes nicht ausgleichen könne.

Das abrupte Ende des Safe-Harbor-Abkommens führte zu einem Gefühl der Unsicherheit in der Geschäftswelt . Strafen wurden befürchtet, wenn bei einer Inspektion Datenschutzverletzungen festgestellt wurden. Darüber hinaus bedeuteten die neuen Vorschriften eine Investition von Zeit und Geld für Unternehmen, um sich an die neue Datenschutzverordnung anzupassen.

Eine große Anzahl von Unternehmen hat damals die Standard-EU-Vertragsklauseln übernommen oder diese als Erweiterung des Safe-Harbor-Abkommens (z. B. Facebook) verwendet. Diese Praxis nahm während der Übergangsphase zum Privacy Shield-Abkommen zwischen der EU und den USA zu und wurde so lange beibehalten, wie sie in Kraft blieb. Und die Sache ist, dass Unternehmen sich nicht nur auf eine Vereinbarung zum Datenschutz verlassen wollten , die wie ihr Vorgänger Konflikte und grundlegende Datenschutzprobleme nicht beseitigen konnte.

Jährliche Inspektionen, die oft auf das Ende des Geschäfts hinwiesen, verstärkten dieses Misstrauen. Die alternative oder parallele Verwendung von Standardvertragsklauseln war auch eine Reaktion auf die schlechte Umsetzung der wichtigsten Punkte des Privacy Shield-Abkommens in den USA. Ein Beispiel war die extrem lange Verzögerung bei der Besetzung der Position des Bürgerbeauftragten.

Seit dem Inkrafttreten des RGPD haben internationale Datenschutzabkommen Schwierigkeiten. Der Datenschutzschild war lediglich eine Übergangsregelung , die nur vorübergehend einen verbindlichen Rechtsrahmen für die internationale Übermittlung personenbezogener Daten einführte und nach seiner Beseitigung vor allem für die betroffenen Unternehmen viel Verwirrung und Verwirrung stiftete.

Das Schicksal des Privacy Shield zeigt, dass die grundlegenden Probleme des Datenschutzes im Kontext der zunehmenden Digitalisierung nicht getarnt werden können, sondern im Rahmen der DSGVO dauerhaft korrigiert werden müssen. Andernfalls würden langfristige Geschäftsmodelle, die auf internationaler Ebene mit personenbezogenen Daten arbeiten, ihre Grundlage verlieren.

Es gibt bereits Anzeichen für ein wachsendes Bewusstsein für den Datenschutz in den USA und damit für eine Annäherung an die Grundsätze der DSGVO, wie der California Consumer Privacy Act (CCPA) zeigt. Dass die hohe Nachfrage der Räumlichkeiten des RGPD es zu einem weltweit anerkannten Standard für den digitalen Handel macht, erscheint derzeit recht zweifelhaft, zumindest gemessen an den enormen Unterschieden bei der Behandlung personenbezogener Daten auf globaler Ebene.

Das RGPD, das derzeit durch andere europäische Datenschutzbestimmungen wie die elektronische Datenschutzverordnung und Richtlinien wie den Leitfaden zur Verwendung von Cookies erweitert wird, könnte sich als wachsender Konfliktpunkt für Geschäftsbeziehungen auf internationaler Ebene herausstellen. .

Bitte beachten Sie die rechtlichen Hinweise zu diesem Artikel.