Das Wichtigste zum EU-US Privacy Shield in Kürze
- Der EU-US Privacy Shield dient dazu, DSGVO-konform personenbezogene Daten europäischer Bürger an US-Unternehmen zu übermitteln.
- US-Unternehmen, die teilnehmen wollen, gehen eine Selbstverpflichtung ein, dass sie bestimmte Datenschutz-Prinzipien befolgen und Betroffenen Rechte gewähren werden.
- Kritik am Privacy Shield richtet sich vor allem gegen seine mangelnde Verbindlichkeit und den unzureichenden Schutz vor staatlichem Zugriff auf personenbezogene Daten von EU-Bürgern.
Was ist der EU-US Privacy Shield?
Inhaltsverzeichnis
Die personenbezogenen Daten von Bürgern der Europäischen Union sind durch die Bestimmungen der EU-Datenschutzgrundverordnung geschützt. Das Problem daran: Sobald diese Daten den europäischen Raum verlassen, ist dieser Schutz nicht mehr gewährleistet. Dies ist im Internet, das schon von seiner Struktur her international aufgebaut ist, keine Seltenheit, zumal viele große Unternehmen ihren Hauptsitz in Ländern wie den USA haben.
Gemäß der DSGVO dürfen personenbezogene Daten nur dann in ein Drittland übermittelt werden, wenn dort ein angemessenes Schutzniveau sichergestellt ist (Art. 44). Der Datenschutz in den USA gilt allerdings nicht als angemessen. Daher dürften theoretisch keine Datenübermittlungen dorthin getätigt werden.
Allerdings sieht Art. 45 DSGVO vor, dass Übermittlungen in ein Drittland dann zulässig sind, wenn durch einen Angemessenheitsbeschluss der Europäischen Kommission festgestellt worden ist, dass das Schutzniveau ausreichend ist. Der EU-US Privacy Shield („Datenschutzschild“) ist eine Absprache zwischen der US-amerikanischen Regierung und der EU-Kommission, welche die Anwendung dieser Regelung zum Ziel hat.
Vorgänger: Safe Harbor
Welche Regelungen sieht der Privacy Shield vor?
US-amerikanische Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten wollen, müssen sich in eine Liste eintragen, die vom US-Handelsministerium geführt wird. Die Eintragung in die Liste stellt eine Selbstzertifizierung des Unternehmens dar, durch welche es sich verpflichtet, die Prinzipien des Data Privacy Shield zu achten.
Im Gegensatz zu Safe Harbor müssen die Unternehmen nun aber durchaus mit Sanktionen rechnen, wenn sie ihre Selbstverpflichtungen nicht einhalten. Es gilt also: Die Eintragung in die Liste und die damit einhergehende Verpflichtung zur Einhaltung der Regeln erfolgt freiwillig. Ab diesem Moment müssen Teilnehmer am Privacy Shield zwischen der EU und den USA aber tatsächlich die Regelungen einhalten, um in der Liste zu verbleiben und sich auf diese Weise für die Datenübermittlung zu qualifizieren.
Einzuhaltende Prinzipien des Privacy Shield
Zudem muss die Zweckbindung eingehalten werden, d. h. die personenbezogenen Daten dürfen nur für den angegebenen Zweck und nicht in anderen Kontexten verwendet werden. Damit die Einhaltung der Regeln überprüft werden kann, müssen Unternehmen mit dem US-Handelsministerium bei Untersuchungen und Anfragen kooperieren.
EU-Bürger, deren Daten an US-Unternehmen übermittelt wurden, haben gegenüber diesen gewisse Rechte. Hierzu gehören:
- Recht auf Information
- Recht auf Auskunft
- Recht auch Berichtigung falscher Daten
- ggf. Recht auf Löschung
- ggf. Widerspruchsrecht
- Beschwerderecht
Wenn EU-Bürger Anfragen stellen, um eines der Rechte in Anspruch zu nehmen, müssen die Unternehmen innerhalb von 45 Tagen antworten.
Beschwerden bei Verstößen
Alle zertifizierten Unternehmen, die in der Privacy-Shield-Liste beim US-Handelsministerium eingetragen sind, müssen zu diesem Zweck eine unabhängige Stelle angeben, an die betroffene Personen kostenlos eine Beschwerde richten können. Alternativ können sich EU-Bürger auch an ihre nationale Datenschutzbehörde richten.
Als letzte Möglichkeit, wenn eine Beschwerde nicht zum Erfolg geführt hat, steht Betroffenen ein Schiedsverfahren offen, um die Rechte durchzusetzen.
Zugriff der Geheimdienste auf gespeicherte Daten
Einer der Punkte, der für massive Kritik an der Safe-Harbor-Regelung führte und aufgrund der die Gefährdung der Grundrechte europäischer Bürger auch im EuGH-Urteil Erwähnung fand, war der staatliche Zugriff auf gespeicherte Daten. Durch die US-amerikanische Gesetzgebung (etwa den USA PATRIOT Act) haben dortige Behörde weitreichende Befugnisse in diesem Bereich.
Im Zusammenhang mit dem Privacy-Shield-Übereinkommen teilte die Europäische Kommission mit, eine schriftliche Zusicherung von Seiten der US-Regierung erhalten zu haben, dass künftig der Zugriff auf die personenbezogenen Daten von EU-Bürgern deutlichen Beschränkungen und Kontrollen unterliegen werde.
Zudem wurde eine von den Geheimdiensten unabhängige Ombudsstelle im US-Außenministerium eingerichtet, an die sich Betroffene bei Verstößen wenden können.
Kritik am EU-US Privacy Shield
Zudem seien trotz der Zusicherung weiterhin Maßnahmen der Massenüberwachung zulässig, ohne dass EU-Bürger davon erführen. Moniert wird auch die Stellung der Ombudsperson, die weder unabhängig genug sei noch über ausreichende Befugnisse verfüge, um bei Verstößen wirksam eingreifen zu können.
Markus says
Warum werde ich gezwungen auf vielen Seiten den Möchtegern Datenschutzbestimmungen zuzustimmen obwohl ich DAGEGEN bin, ich bin NICHT damit einverstanden, dass Deutsche Unternehmen mit diesem SHield “Verein” unter einer Decke stecken:
bald ist Internet wohl leider unnutzbar, schade und irgendwie auch bescheuert.
thinkaboutit says
Hi Markus, deine Kritik richtet sich wohl in erster Linie an die “ganz oder garnicht” Restriktion. Entwerder du bist vollumfänglich dafür oder du kannst einen bestimmten Dienst nicht nutzen. Finde ich auch ein bisschen doof, aber so ist es aktuell nun mal. :-/
@ Datenschutz.org: Vielen Dank für den Artikel! Obwohl das Privacy Shield Abkommen sowohl für den Endverbraucher als auch für Unternehmen der EU, welche Daten von Endverbrauchern erheben, nicht ausreichend zu sein scheint, fühle ich mich jetzt doch ein bisschen besser informiert. Zumindest habe ich jetzt einen besseren Einblick darin, was mit den Daten passiert, bzw. passieren kann. Aus meiner (EU) Perspektive kann das Abkommen allerdings nicht wirklich zufriedenstellend sein, da es lediglich Absichtsbekundungen enthält, die von “unabhängigen Abhängigen” in USA geprüft/ eingehalten werden – oder eben auch nicht (Stichwort: Selbstverpflichtung). Auch ein Schiedsgericht, welches mit Sicherheit mit US Schiedsrichtern besetzt wird, stellt für mich keine vertrauensbildende Maßnahme dar. Und so bleibt das Gefühl, dass man Daten immer noch nicht frei über die USA transferieren kann, ohne ungesehen am Big Brother vorbei zu kommen. Wirklich schade, dass die EU-DSGVO Chance von den US Kollegen weder erkannt noch genutzt wird.
Tom says
Für mich ist der Privacy Shield wie auch davor Safe Harbour nur unzureichend, da es keine effektive Durchsetzung auch von Schadenersatz oder Bussgeldern gibt.
Einzige Möglichkeit ist, dass sich auch die US-Regierung vollumfänglich den EU-Datenschutzregelungen unterwirft oder eben keinerlei Daten mehr in die USA dürfen.
Solange es Geheimgerichte gibt, kann es nie wirksame Vereinbarungen geben.