/

Was ist Privacy Shield?

Privacy Shield war eine informelle Absprache zwischen den USA und der EU, die die Erfüllung europäischer Datenschutznormen bei Datenübermittlungen in die USA gewährleisten sollte. Die Übereinkunft wurde mit der Obama-Regierung ausgehandelt und am 12. Juli 2016 von der EU-Kommission beschlossen. Konkret umfasste Privacy Shield eine Reihe von Zusicherungen der US-Regierung und einen Angemessenheitsbeschluss der EU-Kommission, der die rechtliche Grundlage für Datentransfers zwischen Europa und den USA bildete. Von Beginn an wurde Privacy Shield von Datenschützern und Bürgerrechtsbewegungen kritisiert, da darin Möglichkeiten zur Massenüberwachung durch US-Behörden offengehalten wurden. Im Sommer 2020 kippte schließlich der Europäische Gerichtshof (EuGH) die Übereinkunft, womit allen darauf basierenden Datentransfers die rechtliche Grundlage entzogen wurde.

Privacy Shield Absprache zwischen EU und USA Gewichtung

01

Privacy Shield: eine Definition

Das 2016 von der EU und den USA aufgestellte Regelwerk rund um Privacy Shield sollte als Nachfolger des bereits 2015 gekippten Safe-Harbor-Abkommens einen angemessenen Datenschutz für die europäische Bevölkerung sicherstellen. Gleichzeitig bildete die auch unter dem Namen EU-US-Datenschutzschild bekannte Vereinbarung die rechtliche Grundlage für den transatlantischen Datentransfer. Datenschützer und Bürgerrechtsorganisationen kritisierten das Abkommen aber vom Start weg, da es weiterhin Spielraum für Massenüberwachung bot und US-Recht einen höheren Stellenwert einräumte als der europäischen Rechtsprechung. Mit seinem Urteil vom 16. Juli 2020 erklärte der EuGH den EU-US-Datenschutzschild für ungültig (Urteil „Schrems II“ vom 16. Juli 2020 (Az.: C-311/18)). Unternehmen können sich seither bei der Übertragung sensibler Daten zur Verarbeitung bei Partnern oder Dienstleistern in den USA nicht mehr auf die Angemessenheit des Datenschutzniveaus nach Artikel 45 der Europäischen Datenschutz-Grundverordnung (DSGVO) berufen. Als Alternative bleibt Firmen noch der Ausweg über die sogenannten Standardvertragsklauseln (SCC), um die Rechtssicherheit der Datenübertragung zu vereinbaren – allerdings gestaltet sich das in den meisten Fällen äußerst schwierig.


02

Wieso ist Privacy Shield nicht mit der DSGVO vereinbar?

Wie schon das Vorgänger-Abkommen Safe Harbor beschränkte sich auch Privacy Shield im Wesentlichen auf unternehmensseitige Selbstverpflichtungen, die den Schutz der übertragenen Daten garantieren sollten. Hierzu mussten die Firmen beim U. S. Department of Commerce gelistet sein. Einen konkreten Schutz sensibler Daten vor den Zugriffen von US-Behörden boten aber weder Safe Harbor noch Privacy Shield – auch an wirksamen Rechtsmitteln für Betroffene gegenüber behördlichen Zugriffen mangelte es.

Die DSGVO erfordert jedoch für außereuropäische Datentransfers die Herstellung eines angemessenen Schutzniveaus. Ausnahme bilden die sogenannten sicheren Drittstaaten (Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay und Japan), in die eine Datenübermittlung ausdrücklich gestattet ist. Für sichere Drittländer liegt ein Angemessenheitsbeschluss der EU-Kommission vor, der bestätigt, dass die nationalen Gesetze der jeweiligen Staaten ein angemessenes Schutzniveau für personenbezogene Daten sicherstellen, das mit dem des EU-Rechts vergleichbar ist. Im Fall von Privacy Shield wurde diese Angemessenheitsentscheidung der EU-Kommission durch den EuGH für unwirksam erklärt. Dem Urteil des EuGH folgend steht daher fest, dass in den USA kein im Wesentlichen gleichwertiges Schutzniveau vorliegt. Folgende Gründe waren für den EuGH ausschlaggebend:

US-Recht verstößt gegen EU-Grundrechtecharta

Durch die Gesetzgebung (Section 702 FISA (Foreign Intelligence Surveillance Act) /E.O. 12333) der USA sind amerikanische Sicherheitsbehörden dazu berechtigt, bei Datentransfers aus der EU auf personenbezogene Daten zuzugreifen. Dieser Sachverhalt beschränkt Art. 7 und Art. 8 der EU-Grundrechtecharta unverhältnismäßig und verstößt ebenso gegen Art. 52 (1) S. 2 der EU-Grundrechtecharta (Rn. 184 f.), da:

  • einerseits der Zugriff auf personenbezogene Daten von Nicht-Amerikanern nicht beschränkt ist;

  • und andererseits, weil Nicht-Amerikanern keine durchsetzbaren Rechte gegen diese Zugriffe zur Verfügungen stehen.

Mangelnder Rechtsschutz

Gegen die Zugriffe der US-Sicherheitsbehörden besteht kein Rechtsschutz nach den Vorgaben der EU-Grundrechtecharta. So besteht gegen Zugriffe auf Basis der E.O. 12333 kein Rechtsschutz. Außerdem ist der in Privacy Shield festgeschriebene Ombudsmechanismus gegenüber US-Nachrichtendiensten unwirksam, da keine verbindlichen Entscheidungen daraus resultieren können.

/

03

Welche Strafen drohen Unternehmen bei Missachtung der neuen Rechtslage?

Welchen Weg Firmen auch gehen, die straffen Vorgaben der DSGVO gilt es auf jeden Fall umzusetzen. Je sensibler die verarbeiteten Informationen sind, desto umfassender müssen die IT-Schutzmechanismen ausfallen. Außerdem gilt eine strikte Meldepflicht für Verstöße und technische Probleme. Bei Verstößen gegen die Vorgaben drohen empfindliche Geldstrafen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweit erzielten Jahresumsatzes – je nachdem, welcher der Beträge höher ist. Dass die europäischen Datenschutzbeauftragten durchaus bereit sind, Unternehmen bei schwerwiegenden Vergehen gehörig zur Kasse zu bitten, hat sich in den vergangenen Jahren mehrfach gezeigt: Gegen British Airways, die Hotelkette Marriott sowie die Wohnungsbaugesellschaft Deutsche Wohnen wurden Bußgelder in mehrfacher Millionenhöhe ausgesprochen.


04

Wie können Datentransfers in die USA nach dem Aus von Privacy Shield rechtssicher erfolgen?

Mit dem Wegfall von Privacy Shield ist ein rechtskonformer Austausch von sensiblen Daten zwischen Europa und den USA prinzipiell über die Standardvertragsklauseln oder Binding Corporate Rules (BCR) möglich. Allerdings sind bei der Umsetzung einige Herausforderungen zu bewältigen. So betont der EuGH in seinem Urteil, dass der Datenexporteur die Verantwortung zur Prüfung des Schutzniveaus trägt. Personenbezogene Daten müssen in einem Drittland im Wesentlichen einen gleichwertigen Schutz wie unter der DSGVO genießen. Andernfalls sind Garantien über zusätzliche Sicherheitsmechanismen nach Art. 46 DSGVO zu implementieren. Nach Einschätzung des baden-württembergischen Landesdatenschutzbeauftragten Stefan Brink sind jedoch die derzeitigen Möglichkeiten für die rechtssichere Datenübertragung äußerst beschränkt:

„Eine Übermittlung auf Grundlage von Standardvertragsklauseln ist zwar denkbar, wird die Anforderungen, die der EuGH an ein wirksames Schutzniveau gestellt hat, jedoch nur in seltenen Fällen erfüllen.“

Ein besonderes Hemmnis für DSGVO-konforme Standardvertragsklauseln mit US-Unternehmen stellt der im März 2018 unterzeichnete CLOUD Act (Clarifying Lawful Overseas Use of Data Act) dar. Das US-Gesetz verpflichtet amerikanische Internet-Firmen und IT-Dienstleister dazu, den US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewähren, wenn die Speicherung nicht in den USA erfolgt. De facto sind damit international operierende US-Unternehmen, zur Herausgabe von Daten verpflichtet, wenn diese von US-Behörden angefragt werden.

/

05

Wie wirkt sich die neue Rechtslage auf Cloud-Dienstleister aus?

Je straffer die geltenden Compliance-Richtlinien in den jeweiligen Unternehmen ausfallen, desto schwieriger lässt sich eine rechtssichere Datenübermittlung in die USA vertraglich festhalten. Das betrifft vor allem hochregulierte Branchen wie die Finanz- und Versicherungsindustrie, das Gesundheitswesen oder KRITIS-relevante Betreiber. Beispielsweise lässt sich das IT-Outsourcing von Banken und Finanzdienstleistern in kritischen Kernbereichen in der Praxis oft nur durch lokale Anbieter realisieren, da hier auch vertraglich festgelegte Weisungsrechte zur Sicherung der Datenhoheit zu vereinbaren sind. Ferner muss die zuständige Aufsicht den Cloud-Dienstleister genauso kontrollieren können, wie das hierzulande der Fall wäre. Diese Kontrollmöglichkeiten umfassen ebenso uneingeschränkten Zugriff auf Informationen und Daten sowie auch Zugang zu den Geschäftsräumen des Dienstleisters selbst. Auf solcherlei Zugeständnisse dürften sich nur die wenigsten Anbieter aus den USA und anderen Drittländern einlassen – schließlich könnten sie in weniger regulierten Bereichen wesentlich einfacher Umsatz generieren.

/

06

An welchen Alternativen zu Privacy Shield arbeitet die EU-Kommission?

Die Suche nach einer beständigen Rechtsgrundlage geht indessen in eine neue Runde: Seit Ende 2020 arbeitet die Kommission an einem angepassten Entwurf für die Standardvertragsklauseln, der die vom EuGH bemängelten Punkte im Schrems-II-Urteil berücksichtigt und ebenfalls den Empfehlungen des Europäischen Datenschutzausschusses (EDSA) folgt. Hierzu dienen etwa neu eingeführte Garantien, die die Einhaltung der Klauseln auch in Drittländern mit anderer Rechtsprechung sichern sollen. Außerdem gelte künftig eine Mitteilungspflicht an die Betroffenen, wenn Behörden in einem Drittland rechtsverbindlich personenbezogene Daten einfordern. Datenimporteure sollen zudem kommunizieren, wie sie die Menge der persönlichen Daten möglichst gering halten und diese durch technologische Maßnahmen, wie etwa Pseudonymisierung und Verschlüsselung, vor unberechtigtem Zugriff bewahren.


07

Privacy Shield: Das müssen Sie wissen

Das Privacy-Shield-Abkommen sollte die Rechtsgrundlage für den Austausch sensibler Daten zwischen der EU und den USA bilden und die Erfüllung europäischer Datenschutznormen bei diesen Transfers sichern. Mitte 2020 wurde der im Rahmen von Privacy Shield von der EU-Kommission getätigte Angemessenheitsbeschluss durch den EuGH für unwirksam erklärt, da aufgrund geltenden US-Rechts kein im Wesentlichen gleichwertiges Schutzniveau vorliegt, wie es von der DSGVO gefordert wird. Seither fehlt Datentransfers auf Basis von Privacy Shield die Rechtsgrundlage. Unternehmen müssen demnach auf Standardvertragsklauseln oder Binding Corporate Rules (BCR) zurückgreifen, um Datentransfers rechtssicher zu gestalten. In vielen Fällen wird dies in der Praxis nur schwer möglich sein, da US-Recht in einigen Punkten konträr zur DSGVO steht. Die größten Hindernisse ergeben sich aus Section 702 FISA, E.O. 12333 und dem CLOUD Act.