Europa und USA Flagge

Was ist Privacy Shield?

Privacy Shield war eine informelle Absprache zwischen den USA und der EU, die die Erfüllung europäischer Datenschutznormen bei Datenübermittlungen in die USA gewährleisten sollte. Die Übereinkunft wurde mit der Obama-Regierung ausgehandelt und am 12. Juli 2016 von der EU-Kommission beschlossen. Konkret umfasste Privacy Shield eine Reihe von Zusicherungen der US-Regierung und einen Angemessenheitsbeschluss der EU-Kommission, der die rechtliche Grundlage für Datentransfers zwischen Europa und den USA bildete. Von Beginn an wurde Privacy Shield von Datenschützern und Bürgerrechtsbewegungen kritisiert, da darin Möglichkeiten zur Massenüberwachung durch US-Behörden offengehalten wurden. Im Sommer 2020 kippte schließlich der Europäische Gerichtshof (EuGH) die Übereinkunft, womit allen darauf basierenden Datentransfers die rechtliche Grundlage entzogen wurde. 2023 hat die EU-Kommission mit dem Trans-Atlantic Data Privacy Framework einen neuen Angemessenheitsbeschluss verabschiedet – dieser wurde vom Start weg kontrovers diskutiert.

Jetzt absichern mit dem Myra DDoS Schutz
Privacy Shield Absprache zwischen EU und USA Gewichtung

01

Privacy Shield: eine Definition

Das 2016 von der EU und den USA aufgestellte Regelwerk rund um Privacy Shield sollte als Nachfolger des bereits 2015 gekippten Safe-Harbor-Abkommens einen angemessenen Datenschutz für die europäische Bevölkerung sicherstellen. Gleichzeitig bildete die auch unter dem Namen EU-US-Datenschutzschild bekannte Vereinbarung die rechtliche Grundlage für den transatlantischen Datentransfer. Datenschützer und Bürgerrechtsorganisationen kritisierten das Abkommen aber vom Start weg, da es weiterhin Spielraum für Massenüberwachung bot und US-Recht einen höheren Stellenwert einräumte als der europäischen Rechtsprechung. Mit seinem Urteil vom 16. Juli 2020 erklärte der EuGH den EU-US-Datenschutzschild für ungültig (Urteil „Schrems II“ vom 16. Juli 2020 (Az.: C-311/18)). Unternehmen konnten sich fortan bei der Übertragung sensibler Daten zur Verarbeitung bei Partnern oder Dienstleistern in den USA nicht mehr auf die Angemessenheit des Datenschutzniveaus nach Artikel 45 der Europäischen Datenschutz-Grundverordnung (DSGVO) berufen. Als Alternative blieb Firmen noch der Ausweg über die sogenannten Standardvertragsklauseln (SCC), um die Rechtssicherheit der Datenübertragung zu vereinbaren – allerdings gestaltete sich das in den meisten Fällen äußerst schwierig. Erst 2023 ging mit dem Trans-Atlantic Data Privacy Framework ein neuer Angemessenheitsbeschluss an den Start.

02

Wieso ist Privacy Shield nicht mit der DSGVO vereinbar?

Wie schon das Vorgänger-Abkommen Safe Harbor beschränkte sich auch Privacy Shield im Wesentlichen auf unternehmensseitige Selbstverpflichtungen, die den Schutz der übertragenen Daten garantieren sollten. Hierzu mussten die Firmen beim U. S. Department of Commerce gelistet sein. Einen konkreten Schutz sensibler Daten vor den Zugriffen von US-Behörden boten aber weder Safe Harbor noch Privacy Shield – auch an wirksamen Rechtsmitteln für Betroffene gegenüber behördlichen Zugriffen mangelte es.

Die DSGVO erfordert jedoch für außereuropäische Datentransfers die Herstellung eines angemessenen Schutzniveaus. Ausnahme bilden die sogenannten sicheren Drittstaaten (Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay und Japan), in die eine Datenübermittlung ausdrücklich gestattet ist. Für sichere Drittländer liegt ein Angemessenheitsbeschluss der EU-Kommission vor, der bestätigt, dass die nationalen Gesetze der jeweiligen Staaten ein angemessenes Schutzniveau für personenbezogene Daten sicherstellen, das mit dem des EU-Rechts vergleichbar ist. Im Fall von Privacy Shield wurde diese Angemessenheitsentscheidung der EU-Kommission durch den EuGH für unwirksam erklärt. Dem Urteil des EuGH folgend steht daher fest, dass in den USA kein im Wesentlichen gleichwertiges Schutzniveau vorliegt. Folgende Gründe waren für den EuGH ausschlaggebend:

US-Recht verstößt gegen EU-Grundrechtecharta

Durch die Gesetzgebung (Section 702 FISA (Foreign Intelligence Surveillance Act) /E.O. 12333) der USA sind amerikanische Sicherheitsbehörden dazu berechtigt, bei Datentransfers aus der EU auf personenbezogene Daten zuzugreifen. Dieser Sachverhalt beschränkt Art. 7 und Art. 8 der EU-Grundrechtecharta unverhältnismäßig und verstößt ebenso gegen Art. 52 (1) S. 2 der EU-Grundrechtecharta (Rn. 184 f.), da:

  • einerseits der Zugriff auf personenbezogene Daten von Nicht-Amerikanern nicht beschränkt ist;

  • und andererseits, weil Nicht-Amerikanern keine durchsetzbaren Rechte gegen diese Zugriffe zur Verfügungen stehen.

Mangelnder Rechtsschutz

Gegen die Zugriffe der US-Sicherheitsbehörden besteht kein Rechtsschutz nach den Vorgaben der EU-Grundrechtecharta. So besteht gegen Zugriffe auf Basis der E.O. 12333 kein Rechtsschutz. Außerdem ist der in Privacy Shield festgeschriebene Ombudsmechanismus gegenüber US-Nachrichtendiensten unwirksam, da keine verbindlichen Entscheidungen daraus resultieren können.

Handy mit Nachrichten auf dem Bildschirm

03

Welche Strafen drohen Unternehmen bei Missachtung der neuen Rechtslage?

Welchen Weg Firmen auch gehen, die straffen Vorgaben der DSGVO gilt es auf jeden Fall umzusetzen. Je sensibler die verarbeiteten Informationen sind, desto umfassender müssen die IT-Schutzmechanismen ausfallen. Außerdem gilt eine strikte Meldepflicht für Verstöße und technische Probleme. Bei Verstößen gegen die Vorgaben drohen empfindliche Geldstrafen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweit erzielten Jahresumsatzes – je nachdem, welcher der Beträge höher ist. Dass die europäischen Datenschutzbeauftragten durchaus bereit sind, Unternehmen bei schwerwiegenden Vergehen gehörig zur Kasse zu bitten, hat sich in den vergangenen Jahren mehrfach gezeigt: Gegen British Airways, die Hotelkette Marriott sowie die Wohnungsbaugesellschaft Deutsche Wohnen wurden Bußgelder in mehrfacher Millionenhöhe ausgesprochen.

04

Wie können Datentransfers in die USA nach dem Aus von Privacy Shield rechtssicher erfolgen?

Mit dem Wegfall von Privacy Shield war ein rechtskonformer Austausch von sensiblen Daten zwischen Europa und den USA prinzipiell über die Standardvertragsklauseln oder Binding Corporate Rules (BCR) möglich. Allerdings waren bei der Umsetzung einige Herausforderungen zu bewältigen. So betonte der EuGH in seinem Urteil, dass der Datenexporteur die Verantwortung zur Prüfung des Schutzniveaus trägt. Personenbezogene Daten müssen demnach in einem Drittland im Wesentlichen einen gleichwertigen Schutz wie unter der DSGVO genießen. Andernfalls seien Garantien über zusätzliche Sicherheitsmechanismen nach Art. 46 DSGVO zu implementieren.

Ein besonderes Hemmnis für DSGVO-konforme Standardvertragsklauseln mit US-Unternehmen stellt der im März 2018 unterzeichnete CLOUD Act (Clarifying Lawful Overseas Use of Data Act) dar. Das US-Gesetz verpflichtet amerikanische Internet-Firmen und IT-Dienstleister dazu, den US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewähren, wenn die Speicherung nicht in den USA erfolgt. De facto sind damit international operierende US-Unternehmen, zur Herausgabe von Daten verpflichtet, wenn diese von US-Behörden angefragt werden.

Seit 10.07.2023 besteht durch das Trans-Atlantic Data Privacy Framework ein neuer Angemessenheitsbeschluss, der den rechtssicheren Datentransfer zwischen der EU und den USA ermöglicht.

Code auf einem Bildschirm

05

Wie wirkt sich die Rechtslage auf Cloud-Dienstleister aus?

Solange kein Angemessenheitsbeschluss besteht, bleibt festzuhalten: Je straffer die geltenden Compliance-Richtlinien in den jeweiligen Unternehmen ausfallen, desto schwieriger lässt sich eine rechtssichere Datenübermittlung in die USA vertraglich festhalten. Das betrifft vor allem hochregulierte Branchen wie die Finanz- und Versicherungsindustrie, das Gesundheitswesen oder KRITIS-relevante Betreiber. Beispielsweise lässt sich das IT-Outsourcing von Banken und Finanzdienstleistern in kritischen Kernbereichen in der Praxis oft nur durch lokale Anbieter realisieren, da hier auch vertraglich festgelegte Weisungsrechte zur Sicherung der Datenhoheit zu vereinbaren sind. Ferner muss die zuständige Aufsicht den Cloud-Dienstleister genauso kontrollieren können, wie das hierzulande der Fall wäre. Diese Kontrollmöglichkeiten umfassen ebenso uneingeschränkten Zugriff auf Informationen und Daten sowie auch Zugang zu den Geschäftsräumen des Dienstleisters selbst. Auf solcherlei Zugeständnisse dürften sich nur die wenigsten Anbieter aus den USA und anderen Drittländern einlassen – schließlich könnten sie in weniger regulierten Bereichen wesentlich einfacher Umsatz generieren.

 

Seit der Angemessenheitsbeschluss für das Trans-Atlantic Data Privacy Framework besteht, können sich Firmen bei der Datenübertragung auf dieses Abkommen beziehen. Laut einer Einschätzung des österreichischen Datenschützers und Rechtsexperten Max Schrems basiert der neue Datenschutzrahmen aber im Wesentlichen auf den Vorgängerabkommen Safe Harbor und Privacy Shield, die beide vom EuGH für ungültig erklärt wurden. Es sei daher davon auszugehen, dass auch das Trans-Atlantic Data Privacy Framework einer Anfechtung nicht standhalten wird. Vor diesem Hintergrund bleibt trotz Angemessenheitsbeschluss ein Restrisiko beim Einsatz von US-Anbietern.

Person arbeitet an einem Laptop

06

An welchen Alternativen zu Privacy Shield arbeitet die EU-Kommission?

Nachdem die EU-Kommission zunächst über angepasste Standardvertragsklauseln eine Möglichkeit für rechtssichere Datentransfers geschaffen hatte, folgte 2023 schließlich ein neuer Angemessenheitsbeschluss durch das Trans-Atlantic Data Privacy Framework. Dieser Datenpakt zwischen den USA und der EU soll Unternehmen fortan eine rechtssichere Datenübertragung ermöglichen.

Handy mit einem Sicherheitsschloss auf dem Bildschirm

07

Privacy Shield: Das müssen Sie wissen

Das Privacy-Shield-Abkommen sollte die Rechtsgrundlage für den Austausch sensibler Daten zwischen der EU und den USA bilden und die Erfüllung europäischer Datenschutznormen bei diesen Transfers sichern. Mitte 2020 wurde der im Rahmen von Privacy Shield von der EU-Kommission getätigte Angemessenheitsbeschluss durch den EuGH für unwirksam erklärt, da aufgrund geltenden US-Rechts kein im Wesentlichen gleichwertiges Schutzniveau vorlag, wie es von der DSGVO gefordert ist. 2023 wurde mit dem Trans-Atlantic Data Privacy Framework eine neue rechtliche Basis für Datentransfers zwischen der EU und den USA geschaffen. In Fachkreisen wird der Nachfolger von Privacy Shield kontrovers diskutiert. Der Datenschützer Max Schrems hat bereits angekündigt, juristisch gegen das Trans-Atlantic Data Privacy Framework vorzugehen, da es „keine substanzielle Änderung des US-Überwachungsrechts“ biete.