Datenschutz-Akademie » Datenschutz-Wiki » EU-US-Privacy-Shield

EU-US-Privacy-Shield
Hinweis

Der Europäische Gerichtshof (EuGH) hat das EU-US Privacy Shield am 16.07.2020 für ungültig erklärt (Fall C-311/18).

Das EU-US-Privacy-Shield

Hintergrund und Entwicklung des EU-US-Privacy-Shield

Der EU-US-Privacy-Shield war eine informelle Absprache auf dem Gebiet des Datenschutzrechts, die von 2015 bis 2016 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika ausgehandelt wurde und bis 2020 galt. Die europäische Union stuft den Transfer personenbezogener Daten in die USA aufgrund des USA PATRIOT ACTS und den daraus entstehenden weitreichenden Zugriffsrechten der U.S.-Behörden auf Unternehmensdaten als kritisch ein.

In der Vergangenheit wurde der Transfer personenbezogener Daten durch das sogenannte Safe-Harbor-Abkommen zwischen der EU und den USA derart geregelt, dass personenbezogene Daten rechtskonform in die USA transferiert werden können. Das Safe-Habor-Abkommen ist im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt worden.

Aus diesem Grund wurde ein Nachfolgeabkommen beschlossen, das EU-US-Privacy-Shield. Das Privacy-Shield wurde im Juli 2016 durch die Europäische Kommission beschlossen und wurde am 16.07.2020 vom Europäischen Gerichtshof für unwirksam erklär. Damit ist es ab sofort nicht mehr möglich, dass US-Unternehmen personenbezogene Daten von EU-Bürgerinnen und -Bürgern auf dieser Basis verarbeiten.

Warum wurde das EU-US-Privacy-Shield für unwirksam erklärt?

Mit der Beschwerde des Österreichers Max Schrems bei der irischen Aufsichtsbehörde DPC hat alles angefangen. Schrems klagte zunächst gegen die Verarbeitung der Daten von Facebook-Nutzern, die nicht in der europäischen Zentrale von Facebook in Irland erfolgte, sondern auf Servern in den USA. Dieser Fall bezog sich damals noch auf die Safe-Harbour-Vereinbarung. Der Europäische Gerichtshof gab Schrems 2015 Recht und erklärte die Safe-Harbour-Vereinbarung für unwirksam.

Trotz des Urteils verarbeitete Facebook weiterhin Daten in der USA, diesmal auf Basis der Standardvertrags-Klauseln und dem Privacy Shield. Max Schrems klagte erneut gegen das Vorgehen, woraufhin das „Datenschutzschild“ Privacy Shield ebenfalls für ungültig erklärt wurde.

Die Richter begründeten das Urteil damit, dass die Übertragung von Daten europäischer Betroffener in ein Drittland nur dann DSGVO-konform erfolgen könne, wenn ein entsprechendes Schutzniveau gewährleistet wird. Da in den USA Überwachungsprogramme aber nicht in einem erforderlichem Maße beschränkt würden und Europäer kein Recht gegen diesen Umstand zu klagen, könne man nicht von einem angemessenem Schutzniveau ausgehen.

Ziel und Nutzen des EU-US-Privacy-Shields

Auf der offiziellen Internetseitseite des Privacy Shields der U.S.-Regierung werden die Ziele und Nutzen des Privacy Shields wie folgt beschrieben:

„Die EU-U.S. und Swiss-U.S. Privacy-Shield Rahmenbedingungen wurden vom US-Handelsministerium und der Europäischen Kommission sowie der Schweizer Regierung entwickelt, um Unternehmen auf beiden Seiten des Atlantiks einen Mechanismus zur Verfügung zu stellen, der es ermöglicht, die Datenschutzanforderungen bei der Übermittlung personenbezogener Daten aus der Europäischen Union und der Schweiz in die Vereinigten Staaten zur Unterstützung des transatlantischen Handels zu erfüllen.“

Im Allgemeinen gilt das Privacy-Shield für Handlungen oder Praktiken von „Personen, Personengesellschaften oder Unternehmen“. Depotbanken (Banken, föderale Kreditgenossenschaften und Sparkassen), Telekommunikations- und zwischenstaatliche Transportunternehmen, Arbeitsverbände, sowie gemeinnützige Organisationen sowie die meisten Logistikunternehmen fallen nicht darunter.

Whitepaper Datenschutz an Unternehmensstandorten und Personen der Datenschutzorganisation

Whitepaper: Datenschutz an Unternehmensstandorten und Personen der Datenschutzorganisation

Im Whitepaper zum Datenschutz an Unternehmensstandorten & Personen der Datenschutzorganisation finden Sie:

  • Erhalten Sie Informationen zu rechtlich zulässigen Datenübermittlungen
  • Lernen Sie mehr über die Datenschutzrelevante Betrachtung verschiedener Unternehmensstandorte
  • Lernen Sie DSGVO-konforme Möglichkeiten der Datenübermittlung in Drittländer kennen
  • Erhalten Sie Hintergrundinformationen zum Marktortprinzip, Drittland und Konzernprivileg
  • Lernen Sie welche Personen Mitglieder der Datenschutzorganisation sind

Externer Datenschutzbeauftragter

Gern können Sie uns als externen Datenschutzbeauftragten (DSB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits an und erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Datenschutzbeauftragten finden Sie auf unserer Website.

DSB-Leistungen entdecken

Datenübertragung in die USA datenschutzrechtlich gesetzeskonform regeln

Unternehmen bzw. Organisationen innerhalb der EU müssen drei Fragestellungen prüfen:

  1. Werden personenbezogene Daten im Rahmen eines Geschäftsprozesses an Geschäftspartner in die USA übertragen? Dieses kann z. B. die Übertragung von Mitarbeiterdaten im Rahmen der Auftragsabwicklung sein oder die Nutzung von Softwarediensten in den USA im Rahmen eines Auftragsverarbeitung.
  2. Werden innerhalb eines Konzerns oder einer Unternehmensgruppe personenbezogene Daten an Tochtergesellschaften in die USA übertragen?
  3. Werden innerhalb einer Gesellschaft mit einem Standort in den USA personenbezogene Daten übertragen?

Für 1, 2 und müssen folgende Aktivitäten durchgeführt werden.

1. Geschäftspartner muss im Privacy-Shield registriert sein

Bei eine Übertragung personenbezogener Daten an Geschäftspartner innerhalb der USA muss dieser Geschäftspartner dem Privacy-Shield-Framework beigetreten sein. Dieses kann auf der Website des Privacy-Shield geprüft werden.

Der Geschäftspartner kann ganz einfach auf der offiziellen Website dem Privacy-Shield-Framework beitreten über ein Eigen-Zertifizierungsverfahren beitreten.

2. U.S.-Tochterunternehmen europäischer Unternehmen müssen handeln

Europäische Unternehmen mit Tochtergesellschaften in den USA sollten diese Töchter für das Privacy-Shield zertifizieren. Das Privacy-Shield-Framework bietet hier die Möglichkeit sich auf seiner offiziellen Internetseite des Privacy Shield selbst zu zertifizieren.

3. Übertragung innerhalb einer Gesellschaft per Binding-Corporate-Rules (BCR) oder EU-Standardvertrag lösen

Werden personenbezogene Daten innerhalb einer Gesellschaft, zum Beispiel innerhalb einer Aktiengesellschaft, in die USA übertragen, so muss diese Gesellschaft die Übertragung der personenbezogenen Daten datenschutzrechtlich absichern.

Dieses kann dadurch geschehen, dass die Gesellschaft innerhalb der Unternehmensgruppe unternehmensinterne Richtlinien, sogenannte Binding-Corporate-Rules (BCR), erlässt. Weiterhin hat sie die Möglichkeit EU-Standardvertragsklausel zu nutzen, um die Übertragung datenschutzrechtlich  gesetzeskonform aufzustellen.

Prof. Dr. Andre Döring
Neueste Anzeigen von Prof. Dr. Andre Döring (Alle anzeigen)

Das könnte Sie auch interessieren:

Was tun beim IT-Sicherheitsvorfall?

Das Wichtigste zum IT-Sicherheitsvorfall. Erfahren Sie im Beitrag praktische Tipps zur Erkennung und Behandlung von IT-Notfällen.
Weiterlesen

Was ist das TTDSG?

Was ist das TTDSG? Neues Datenschutzgesetz und Anpassung der Regelungen zu Cookies und PIMS.
Weiterlesen

Die neuen EU-Standard-Vertragsklauseln

Am 07. Juni 2021 hat die Europäische Kommission die neue Version der EU Standardvertragsklauseln für den internationalen Datentransfer von personenbezogener Daten veröffentlicht.
Weiterlesen