Hinweis: Der Europäische Gerichtshof (EuGH) hat das EU-US Privacy Shield für nichtig erklärt (Fall C-311/18).
Das Wichtigste zum EU-US Privacy Shield in Kürze
Der EU-US Privacy Shield diente dazu, DSGVO-konform personenbezogene Daten europäischer Bürger an US-Unternehmen zu übermitteln.
US-Unternehmen, die teilnehmen wollen, gehen eine Selbstverpflichtung ein, dass sie bestimmte Datenschutz-Prinzipien befolgen und Betroffenen Rechte gewähren werden.
Kritik am Privacy Shield richtet sich vor allem gegen seine mangelnde Verbindlichkeit und den unzureichenden Schutz vor staatlichem Zugriff auf personenbezogene Daten von EU-Bürgern.
Was ist der EU-US Privacy Shield?
Inhaltsverzeichnis
Die personenbezogenen Daten von Bürgern der Europäischen Union sind durch die Bestimmungen der EU-Datenschutzgrundverordnung geschützt. Das Problem daran: Sobald diese Daten den europäischen Raum verlassen, ist dieser Schutz nicht mehr gewährleistet. Dies ist im Internet, das schon von seiner Struktur her international aufgebaut ist, keine Seltenheit, zumal viele große Unternehmen ihren Hauptsitz in Ländern wie den USA haben.
Gemäß der DSGVO dürfen personenbezogene Daten nur dann in ein Drittland übermittelt werden, wenn dort ein angemessenes Schutzniveau sichergestellt ist (Art. 44). Der Datenschutz in den USA gilt allerdings nicht als angemessen. Daher dürften theoretisch keine Datenübermittlungen dorthin getätigt werden.
Allerdings sieht Art. 45 DSGVO vor, dass Übermittlungen in ein Drittland dann zulässig sind, wenn durch einen Angemessenheitsbeschluss der Europäischen Kommission festgestellt worden ist, dass das Schutzniveau ausreichend ist. Der EU-US Privacy Shield („Datenschutzschild“) ist eine Absprache zwischen der US-amerikanischen Regierung und der EU-Kommission, welche die Anwendung dieser Regelung zum Ziel hat.
Vorgänger: Safe Harbor
Bereits vor dem Privacy Shield gab es eine Absprache, welche den Namen „Safe Harbor“ trug. Diese hatte das gleiche Ziel und bezog sich auf eine entsprechende Regelung der damals geltenden EU-Datenschutzrichtlinie, welche ebenfalls Restriktionen für die Übermittlungen in ein Drittland aussprach. Allerdings wurde Safe Harbor im Oktober 2015 durch ein Urteil des Europäischen Gerichtshofs (EuGH) für ungültig erklärt, weil unter anderem keine ausreichenden Rechtsschutzmöglichkeiten für EU-Bürger in den USA gegeben waren.
Welche Regelungen sieht der Privacy Shield vor?
US-amerikanische Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten wollen, müssen sich in eine Liste eintragen, die vom US-Handelsministerium geführt wird. Die Eintragung in die Liste stellt eine Selbstzertifizierung des Unternehmens dar, durch welche es sich verpflichtet, die Prinzipien des Data Privacy Shield zu achten.
Im Gegensatz zu Safe Harbor müssen die Unternehmen nun aber durchaus mit Sanktionen rechnen, wenn sie ihre Selbstverpflichtungen nicht einhalten. Es gilt also: Die Eintragung in die Liste und die damit einhergehende Verpflichtung zur Einhaltung der Regeln erfolgt freiwillig. Ab diesem Moment müssen Teilnehmer am Privacy Shield zwischen der EU und den USA aber tatsächlich die Regelungen einhalten, um in der Liste zu verbleiben und sich auf diese Weise für die Datenübermittlung zu qualifizieren.
Einzuhaltende Prinzipien des Privacy Shield
Die in der Liste eingetragenen Unternehmen sind verpflichtet, sich an Regeln zu halten, die für ein angemessenes Datenschutzniveau sorgen sollen. Dazu gehört unter anderem, dass sie sich an den Grundsatz der Datensparsamkeit halten müssen, also nur die tatsächlich erforderlichen Angaben erheben und verarbeiten.
Zudem muss die Zweckbindung eingehalten werden, d. h. die personenbezogenen Daten dürfen nur für den angegebenen Zweck und nicht in anderen Kontexten verwendet werden. Damit die Einhaltung der Regeln überprüft werden kann, müssen Unternehmen mit dem US-Handelsministerium bei Untersuchungen und Anfragen kooperieren.
EU-Bürger, deren Daten an US-Unternehmen übermittelt wurden, haben gegenüber diesen gewisse Rechte. Hierzu gehören:
- Recht auf Information
- Recht auf Auskunft
- Recht auch Berichtigung falscher Daten
- ggf. Recht auf Löschung
- ggf. Widerspruchsrecht
- Beschwerderecht
Wenn EU-Bürger Anfragen stellen, um eines der Rechte in Anspruch zu nehmen, müssen die Unternehmen innerhalb von 45 Tagen antworten.
Beschwerden bei Verstößen
Personen, die von einer Übermittlung ihrer personenbezogenen Daten in die USA betroffen sind und ihre Rechte gegenüber dem entsprechenden Unternehmen nicht in Anspruch nehmen konnten oder einen anderen Verstoß gegen die Privacy-Shield-Prinzipien sehen, haben die Möglichkeit, Beschwerde einzureichen.
Alle zertifizierten Unternehmen, die in der Privacy-Shield-Liste beim US-Handelsministerium eingetragen sind, müssen zu diesem Zweck eine unabhängige Stelle angeben, an die betroffene Personen kostenlos eine Beschwerde richten können. Alternativ können sich EU-Bürger auch an ihre nationale Datenschutzbehörde richten.
Als letzte Möglichkeit, wenn eine Beschwerde nicht zum Erfolg geführt hat, steht Betroffenen ein Schiedsverfahren offen, um die Rechte durchzusetzen.
Zugriff der Geheimdienste auf gespeicherte Daten
Einer der Punkte, der für massive Kritik an der Safe-Harbor-Regelung führte und aufgrund der die Gefährdung der Grundrechte europäischer Bürger auch im EuGH-Urteil Erwähnung fand, war der staatliche Zugriff auf gespeicherte Daten. Durch die US-amerikanische Gesetzgebung (etwa den USA PATRIOT Act) haben dortige Behörde weitreichende Befugnisse in diesem Bereich.
Im Zusammenhang mit dem Privacy-Shield-Übereinkommen teilte die Europäische Kommission mit, eine schriftliche Zusicherung von Seiten der US-Regierung erhalten zu haben, dass künftig der Zugriff auf die personenbezogenen Daten von EU-Bürgern deutlichen Beschränkungen und Kontrollen unterliegen werde.
Zudem wurde eine von den Geheimdiensten unabhängige Ombudsstelle im US-Außenministerium eingerichtet, an die sich Betroffene bei Verstößen wenden können.
Kritik am EU-US Privacy Shield
Wie auch schon die Vorgängerregelung sieht sich der Privacy Shield vielfacher Kritik ausgesetzt. Insbesondere der Zugriff durch US-Behörden auf gespeicherte Daten von EU-Bürgern ist Gegenstand des Anstoßes. Es gebe weiterhin keinen ausreichenden Schutz der Daten, da es nur Zusicherungen seitens der US-Regierung, aber keinen verbindlichen Vertrag gebe, der feste Regeln vorschreibt.
Zudem seien trotz der Zusicherung weiterhin Maßnahmen der Massenüberwachung zulässig, ohne dass EU-Bürger davon erführen. Moniert wird auch die Stellung der Ombudsperson, die weder unabhängig genug sei noch über ausreichende Befugnisse verfüge, um bei Verstößen wirksam eingreifen zu können.
(66 Bewertungen, Durchschnitt: 4,65 von 5)
Loading...
Markus meint
Warum werde ich gezwungen auf vielen Seiten den Möchtegern Datenschutzbestimmungen zuzustimmen obwohl ich DAGEGEN bin, ich bin NICHT damit einverstanden, dass Deutsche Unternehmen mit diesem SHield „Verein“ unter einer Decke stecken:
bald ist Internet wohl leider unnutzbar, schade und irgendwie auch bescheuert.
thinkaboutit meint
Hi Markus, deine Kritik richtet sich wohl in erster Linie an die „ganz oder garnicht“ Restriktion. Entwerder du bist vollumfänglich dafür oder du kannst einen bestimmten Dienst nicht nutzen. Finde ich auch ein bisschen doof, aber so ist es aktuell nun mal. :-/
@ Datenschutz.org: Vielen Dank für den Artikel! Obwohl das Privacy Shield Abkommen sowohl für den Endverbraucher als auch für Unternehmen der EU, welche Daten von Endverbrauchern erheben, nicht ausreichend zu sein scheint, fühle ich mich jetzt doch ein bisschen besser informiert. Zumindest habe ich jetzt einen besseren Einblick darin, was mit den Daten passiert, bzw. passieren kann. Aus meiner (EU) Perspektive kann das Abkommen allerdings nicht wirklich zufriedenstellend sein, da es lediglich Absichtsbekundungen enthält, die von „unabhängigen Abhängigen“ in USA geprüft/ eingehalten werden – oder eben auch nicht (Stichwort: Selbstverpflichtung). Auch ein Schiedsgericht, welches mit Sicherheit mit US Schiedsrichtern besetzt wird, stellt für mich keine vertrauensbildende Maßnahme dar. Und so bleibt das Gefühl, dass man Daten immer noch nicht frei über die USA transferieren kann, ohne ungesehen am Big Brother vorbei zu kommen. Wirklich schade, dass die EU-DSGVO Chance von den US Kollegen weder erkannt noch genutzt wird.
Tom meint
Für mich ist der Privacy Shield wie auch davor Safe Harbour nur unzureichend, da es keine effektive Durchsetzung auch von Schadenersatz oder Bussgeldern gibt.
Einzige Möglichkeit ist, dass sich auch die US-Regierung vollumfänglich den EU-Datenschutzregelungen unterwirft oder eben keinerlei Daten mehr in die USA dürfen.
Solange es Geheimgerichte gibt, kann es nie wirksame Vereinbarungen geben.