Data Protection Academy » Data Protection Wiki » EU-US Privacy Shield

EU-US Privacy Shield
Note

Der Europäische Gerichtshof (EuGH) hat das EU-US Privacy Shield am 16.07.2020 für ungültig erklärt (Fall C-311/18).

The EU-US Privacy Shield

Background and development of the EU-US Privacy Shield

Der EU-US-Privacy-Shield war eine informelle Absprache auf dem Gebiet des Datenschutzrechts, die von 2015 bis 2016 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika ausgehandelt wurde und bis 2020 galt. Die europäische Union stuft den Transfer personal data to the USA due to the USA PATRIOT ACTS und den daraus entstehenden weitreichenden Zugriffsrechten der U.S.-Behörden auf Unternehmensdaten als kritisch ein.

In der Vergangenheit wurde der Transfer personenbezogener Daten durch das sogenannte Safe-Harbor-Abkommen zwischen der EU und den USA derart geregelt, dass personenbezogene Daten rechtskonform in die USA transferiert werden können. Das Safe-Habor-Abkommen ist im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt worden.

Aus diesem Grund wurde ein Nachfolgeabkommen beschlossen, das EU-US-Privacy-Shield. Das Privacy-Shield wurde im Juli 2016 durch die Europäische Kommission beschlossen und wurde am 16.07.2020 vom Europäischen Gerichtshof für unwirksam erklär. Damit ist es ab sofort nicht mehr möglich, dass US-Unternehmen personenbezogene Daten von EU-Bürgerinnen und -Bürgern auf dieser Basis verarbeiten.

Warum wurde das EU-US-Privacy-Shield für unwirksam erklärt?

Mit der Beschwerde des Österreichers Max Schrems bei der irischen Aufsichtsbehörde DPC hat alles angefangen. Schrems klagte zunächst gegen die Verarbeitung der Daten von Facebook-Nutzern, die nicht in der europäischen Zentrale von Facebook in Irland erfolgte, sondern auf Servern in den USA. Dieser Fall bezog sich damals noch auf die Safe-Harbour-Vereinbarung. Der Europäische Gerichtshof gab Schrems 2015 Recht und erklärte die Safe-Harbour-Vereinbarung für unwirksam.

Trotz des Urteils verarbeitete Facebook weiterhin Daten in der USA, diesmal auf Basis der Standardvertrags-Klauseln und dem Privacy Shield. Max Schrems klagte erneut gegen das Vorgehen, woraufhin das „Datenschutzschild“ Privacy Shield ebenfalls für ungültig erklärt wurde.

Die Richter begründeten das Urteil damit, dass die Übertragung von Daten europäischer Betroffener in ein Drittland nur dann DSGVO-konform erfolgen könne, wenn ein entsprechendes Schutzniveau gewährleistet wird. Da in den USA Überwachungsprogramme aber nicht in einem erforderlichem Maße beschränkt würden und Europäer kein Recht gegen diesen Umstand zu klagen, könne man nicht von einem angemessenem Schutzniveau ausgehen.

Aim and benefits of the EU-US Privacy Shield

On the official website of the Privacy Shield of the U.S. Government the aims and benefits of the privacy shield are described as follows:

„Die EU-U.S. und Swiss-U.S. Privacy-Shield Rahmenbedingungen wurden vom US-Handelsministerium und der Europäischen Kommission sowie der Schweizer Regierung entwickelt, um Unternehmen auf beiden Seiten des Atlantiks einen Mechanismus zur Verfügung zu stellen, der es ermöglicht, die Datenschutzanforderungen bei der Übermittlung personenbezogener Daten aus der Europäischen Union und der Schweiz in die Vereinigten Staaten zur Unterstützung des transatlantischen Handels zu erfüllen.“

Im Allgemeinen gilt das Privacy-Shield für Handlungen oder Praktiken von „Personen, Personengesellschaften oder Unternehmen“. Depotbanken (Banken, föderale Kreditgenossenschaften und Sparkassen), Telekommunikations- und zwischenstaatliche Transportunternehmen, Arbeitsverbände, sowie gemeinnützige Organisationen sowie die meisten Logistikunternehmen fallen nicht darunter.

Whitepaper Data protection at company sites and persons in the data protection organisation

Whitepaper: Data protection at company sites and persons in the data protection organisation

In the whitepaper on data protection at company sites & persons in the data protection organisation you will find:

  • Get information on rechtlich zulässigen Datenübermittlungen
  • Lernen Sie mehr über die Data protection relevant consideration of different company locations
  • Learn DSGVO-compliant Möglichkeiten der Datenübermittlung in Drittländer Know
  • Get background information on the Market place principle, third country and group privilege
  • Learn which people Members of the data protection organisation are

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

External Data Protection Officer

Gern können Sie uns als external data protection officer (DPO) order. We also offer individual consulting services as well as audits and will be happy to provide you with a non-binding offer. You can find more information about our external data protection officers on our website.

Discover DSB services

Datenübertragung in die USA datenschutzrechtlich gesetzeskonform regeln

Unternehmen bzw. Organisationen innerhalb der EU müssen drei Fragestellungen prüfen:

  1. Werden personenbezogene Daten im Rahmen eines Geschäftsprozesses an Geschäftspartner in die USA übertragen? Dieses kann z. B. die Übertragung von Mitarbeiterdaten im Rahmen der Auftragsabwicklung sein oder die Nutzung von Softwarediensten in den USA im Rahmen eines Auftragsverarbeitung.
  2. Werden innerhalb eines Konzerns oder einer Unternehmensgruppe personenbezogene Daten an Tochtergesellschaften in die USA übertragen?
  3. Werden innerhalb einer Gesellschaft mit einem Standort in den USA personenbezogene Daten übertragen?

Für 1, 2 und müssen folgende Aktivitäten durchgeführt werden.

1. Geschäftspartner muss im Privacy-Shield registriert sein

Bei eine Übertragung personenbezogener Daten an Geschäftspartner innerhalb der USA muss dieser Geschäftspartner dem Privacy-Shield-Framework beigetreten sein. Dieses kann auf der website of the Privacy-Shield geprüft werden.

Der Geschäftspartner kann ganz einfach auf der official website join the Privacy Shield framework über ein Eigen-Zertifizierungsverfahren beitreten.

2. U.S.-Tochterunternehmen europäischer Unternehmen müssen handeln

Europäische Unternehmen mit Tochtergesellschaften in den USA sollten diese Töchter für das Privacy-Shield zertifizieren. Das Privacy-Shield-Framework bietet hier die Möglichkeit sich auf seiner Official website of the Privacy Shield to certify themselves.

3. Übertragung innerhalb einer Gesellschaft per Binding-Corporate-Rules (BCR) oder EU-Standardvertrag lösen

Werden personenbezogene Daten innerhalb einer Gesellschaft, zum Beispiel innerhalb einer Aktiengesellschaft, in die USA übertragen, so muss diese Gesellschaft die Übertragung der personenbezogenen Daten datenschutzrechtlich absichern.

This can be achieved by the company implementing internal guidelines within the group of companies, so-called Binding Corporate Rules (BCR), erlässt. Weiterhin hat sie die Möglichkeit EU standard contractual clause zu nutzen, um die Übertragung datenschutzrechtlich  gesetzeskonform aufzustellen.

Prof. Dr. Andre Döring
Latest posts by Prof. Dr. Andre Döring (see all)

Das könnte Sie auch interessieren:

The Supply Chain Act (LkSG)

Das Lieferkettengesetz (LkSG) trat am 01.01.2023 in Kraft. Erfahren Sie im Beitrag die aktuellen Regelungen und Pflichten für Unternehmen.
Read more
IT security incident

What to do in the event of an IT security incident?

Das Wichtigste zum IT-Sicherheitsvorfall. Erfahren Sie im Beitrag praktische Tipps zur Erkennung und Behandlung von IT-Notfällen.
Read more

What is the TTDSG or TDDDG?

The TTDSG became the Telecommunications Digital Services Data Protection Act (TDDDG) on 13 May 2024 as a result of the harmonisation with the EU Directive.
Read more