Der EU-US Privacy Shield regelte von 2016 bis 2020 die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten von der EU in die USA. Das Da­ten­trans­fer­ab­kom­men wurde vom Eu­ro­päi­schen Ge­richts­hof im Juli 2020 für unwirksam erklärt (Schrems-II-Urteil), da es kein DSGVO-konformes Da­ten­schutz­ni­veau ga­ran­tie­ren konnte. Zumindest bis Neu­re­ge­lun­gen greifen, werden Un­ter­neh­men stärker in die Pflicht genommen und müssen sich – wollen sie Sank­tio­nen vermeiden – nun aktiver mit dem Da­ten­schutz in den USA be­schäf­ti­gen.

Webinar

Was bedeutet das Urteil des EuGH zu Privacy Shield für Ihr Un­ter­neh­men in Deutsch­land? Sind Standard­vertrags­klauseln ein Ausweg? Erfahren Sie mehr über diesem Thema in dem Privacy Shield Webinar von IONOS.

Der aktuelle Stand: Wie geht es weiter nach dem Ende des EU-US Privacy Shields?

Obwohl der Privacy Shield für ungültig erklärt wurde, können Un­ter­neh­men weiterhin per­so­nen­be­zo­ge­ne Daten in die USA ex­por­tie­ren. Sie können dazu bereits ver­wen­de­te EU-Stan­dard­ver­trags­klau­seln (SCC) weiterhin nutzen. KMUs, die bislang aus­schließ­lich dem Privacy Shield ver­trau­ten, können auf Stan­dard­ver­trags­klau­seln oder andere Al­ter­na­ti­ven umstellen. Für einige Un­ter­neh­men kommen etwa Binding Corporate Rules infrage.

Fakt

Binding Corporate Rules setzen vor allem in­ter­na­tio­nal auf­ge­stell­te und ver­zweig­te Un­ter­neh­men ein, um kon­zern­weit gültige und ver­bind­li­che Vorgaben zur Regelung von Da­ten­trans­fers vorweisen zu können. Nach einer auf­sichts­be­hörd­li­chen Ge­neh­mi­gung erlangen diese ver­bind­li­chen Un­ter­neh­mens­richt­li­ni­en den Status einer EU-weit gültigen Da­ten­schutz­ga­ran­tie. Die DSGVO regelt die Vor­aus­set­zun­gen und An­for­de­run­gen an Binding Corporate Rules im Artikel 47.

Al­ler­dings ist die Ver­wen­dung von Stan­dard­ver­trags­klau­seln nach dem Schrems-II-Urteil an strengere Regeln und Be­din­gun­gen geknüpft: Un­ter­neh­men müssen zu­sätz­li­che Maßnahmen ergreifen und im Prinzip bei jeder Da­ten­über­mitt­lung eine Ein­zel­fall­prü­fung vornehmen. Dabei müssen sie sich ver­ge­wis­sern, dass in dem je­wei­li­gen Drittland tat­säch­lich ein an­ge­mes­se­nes Da­ten­schutz­ni­veau vorliegt. Sollte dies etwa aufgrund der dort gültigen na­tio­na­len Si­cher­heits­ge­set­ze nicht der Fall sein, muss ein Un­ter­neh­men die Da­ten­über­mitt­lung stoppen.

Des Weiteren un­ter­lie­gen Stan­dard­ver­trags­klau­seln einer Über­prü­fung durch eu­ro­päi­sche Aufsichts- und Da­ten­schutz­be­hör­den. Kann ein Da­ten­emp­fän­ger aufgrund der Rechts­la­ge in einem Drittland die Pflichten aus den Stan­dard­ver­trags­klau­seln nicht einhalten, können Da­ten­über­mitt­lun­gen aus­ge­setzt oder gar verboten werden. Zu be­rück­sich­ti­gen ist bei der Prüfung des Da­ten­schutz­ni­veaus der gesamte Ablauf. Es muss also durch­gän­gig ga­ran­tiert sein, dass etwa nationale Si­cher­heits- und Er­mitt­lungs­be­hör­den im Emp­fän­ger­land keinen Zugriff auf per­so­nen­be­zo­ge­ne Daten haben.

In der aktuellen Situation erweist sich die Ein­zel­fall­prü­fung gerade für KMUs als schwierig, da sie nor­ma­ler­wei­se nicht über das Know-how und die Mittel verfügen, um etwa ein an­ge­mes­se­nes Da­ten­schutz­ni­veau in einem Drittland in allen Ein­zel­hei­ten zu über­prü­fen. Zudem legt der EuGH in seinem Urteil nicht genau fest, welche konkreten Maßstäbe an Ein­zel­fall­prü­fun­gen oder an mögliche Er­wei­te­run­gen von Stan­dard­ver­trags­klau­seln zu stellen sind.

Dennoch sollten sich KMUs aktiv mit dem Thema aus­ein­an­der­set­zen. Rechts­exper­ten raten dazu, sich best­mög­lich ab­zu­si­chern und eine solide Do­ku­men­ta­ti­on über die eigenen Da­ten­schutz­be­mü­hun­gen anzulegen. Für eine mögliche ge­richt­li­che Aus­ein­an­der­set­zung sind Un­ter­neh­men dann gewappnet und können das eigene Vorgehen nach dem Ende des Privacy Shields vor Gericht besser ver­tei­di­gen.

Eine konkrete Maßnahme zur Ab­si­che­rung ist, auch die formellen Aspekte von Stan­dard­da­ten­schutz­klau­seln sorg­fäl­tig um­zu­set­zen (z. B. durch eine genaue Be­schrei­bung von Da­ten­flüs­sen). Zudem sollte man nur zwingend benötigte per­so­nen­be­zo­ge­ne Daten sammeln und wei­ter­ge­ben. Außerdem raten Rechts­exper­ten zu einer fun­dier­ten und gut do­ku­men­tier­ten Ri­si­ko­ana­ly­se, die alle re­le­van­ten Probleme in den Blick nimmt. So sollte die Rechts­la­ge in den USA oder einem anderen Zielland außerhalb der EU genauer ana­ly­siert und die Wahr­schein­lich­keit eines un­an­ge­mes­se­nen Da­ten­zu­griffs ein­ge­schätzt werden.

Zudem sollte geklärt werden, ob der Empfänger an­ge­sichts der aktuellen Situation besondere ver­trag­li­che Pflichten übernimmt (z. B. erhöhte Be­ob­ach­tungs- und Mit­tei­lungs­pflich­ten). Un­ter­neh­men könnten in der aktuellen Situation auch ame­ri­ka­ni­sche Ge­schäfts­part­ner und Dienst­leis­ter dazu auf­for­dern, alle ver­füg­ba­ren tech­ni­schen Mittel zur Op­ti­mie­rung des Da­ten­schut­zes ein­zu­set­zen (z. B. Ver­wen­dung einer Ende-zu-Ende-Ver­schlüs­se­lung bei einer Vi­deo­kon­fe­renz­soft­ware.

Wer auf Da­ten­trans­fers, Cloud-Dienste und Server in Dritt­län­dern außerhalb der EU ver­zich­ten kann, sollte sich nach DSGVO-konformen Al­ter­na­ti­ven in Europa umsehen. Außerdem sollte man die da­ten­schutz­recht­li­chen Ent­wick­lun­gen genau verfolgen. Der Eu­ro­päi­sche Da­ten­schutz­aus­schuss (EDSA) in­for­miert In­ter­es­sier­te und Be­trof­fe­ne in einem FAQ-Dokument zum Privacy-Shield-Urteil des EuGHs über den aktuellen Stand.

Was ist der EU-US Privacy Shield?

Der Privacy Shield wurde Mitte 2016 offiziell als Nach­fol­ger des EU-US-Da­ten­trans­fer­ab­kom­men Safe Harbor ein­ge­führt. Mit dem Abkommen wollte man die Daten eu­ro­päi­scher Bürger schützen, die nach einem Transfer in die USA von dort an­säs­si­gen Un­ter­neh­men ge­spei­chert und ver­ar­bei­tet werden. Dabei ging es aus­schließ­lich um per­so­nen­be­zo­ge­ne Daten, die bei­spiels­wei­se in größerem Umfang im E-Commerce anfallen. Zu den per­so­nen­be­zo­ge­nen Daten gehören u. a. Telefon-, Kunden-, Kre­dit­kar­ten- oder Per­so­nal­num­mern, Kon­to­da­ten, das Aussehen einer Person oder die Anschrift von EU-Bürgern in Kom­bi­na­ti­on mit weiteren in­di­vi­du­el­len Daten.

Die Gül­tig­keit des Safe-Harbor-Nach­fol­gers endete im Juli 2020 durch ein Urteil des Eu­ro­päi­schen Ge­richts­hofs (EuGH). Im so­ge­nann­ten Schrems-II-Urteil vom 16.07.2020 geht der EuGH davon aus, dass das in der Da­ten­schutz-Grund­ver­ord­nung (DSGVO) ge­for­der­te Si­cher­heits­ni­veau bei der Spei­che­rung und Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten in den USA nicht erreicht wird.

Fakt

Die Da­ten­schutz-Grund­ver­ord­nung wurde vom Eu­ro­päi­schen Parlament am 14. April 2016 mit breiter Mehrheit an­ge­nom­men und trat nach einer Über­gangs­pha­se von zwei Jahren am 25. Mai 2018 in Kraft.

Damit hob der EuGH auch den An­ge­mes­sen­heits­be­schluss der Eu­ro­päi­schen Kom­mis­si­on auf, der den USA wie­der­holt ein aus­rei­chen­des Da­ten­schutz­ni­veau be­schei­nig­te. Auslöser des EuGH-Urteils war eine Klage des Da­ten­schüt­zers Ma­xi­mi­li­an Schrems, der zuvor schon mit einer Klage das Ende des Safe-Harbor-Abkommens ein­lei­te­te. Der Ös­ter­rei­cher wollte Facebook Ireland die Über­mitt­lung seiner per­so­nen­be­zo­ge­nen Daten in die Ver­ei­nig­ten Staaten un­ter­sa­gen und hatte bei der irischen Da­ten­schutz­be­hör­de eine Be­schwer­de eingelegt. Als der irische High Court kein Verfahren ein­lei­te­te, wurde er von Schrems verklagt. In zweiter Instanz legte die irische Da­ten­schutz­be­hör­de die An­ge­le­gen­heit dem EuGH zur ju­ris­ti­schen Über­prü­fung vor, der letztlich den EU-US Privacy Shield kippte.

Inhalte und Rah­men­be­din­gun­gen des Privacy Shields

Der Safe-Harbor-Nach­fol­ger basierte auf be­son­de­ren Da­ten­schutz­maß­nah­men und -standards, die von den USA erfüllt werden mussten. Ein wichtiger Baustein war, dass sich US-Un­ter­neh­men für den Privacy Shield zer­ti­fi­zie­ren konnten. Nachdem sich ein US-Un­ter­neh­men frei­wil­lig den Be­din­gun­gen des Abkommens un­ter­stell­te, fand eine Über­prü­fung durch das US-Han­dels­mi­nis­te­ri­um statt. Hatte ein Un­ter­neh­men den Prozess er­folg­reich durch­lau­fen, wurde es in eine öf­fent­lich zu­gäng­li­che Datenbank auf­ge­nom­men. Die Liste umfasste am Ende der Gül­tig­keit des Abkommens insgesamt 5.384 Or­ga­ni­sa­tio­nen.

Der EU-US Privacy Shield ga­ran­tier­te EU-Bürgern um­fas­sen­de Rechte, wenn per­so­nen­be­zo­ge­ne Daten an zer­ti­fi­zier­te Un­ter­neh­men in die USA über­mit­telt wurden. Um diese geltend zu machen, konnten sich EU-Bürger direkt an die Un­ter­neh­men wenden. Diese mussten den Anliegen der Bürger innerhalb von 45 Tagen nach­kom­men. Die im Privacy Shield zu­ge­si­cher­ten Rechte waren im Einzelnen:

  • Recht auf In­for­ma­ti­on und Auskunft
  • Wi­der­spruchs­recht (gegen eine Da­ten­ver­ar­bei­tung konnte ggf. Wi­der­spruch eingelegt werden)
  • Recht auf Be­rich­ti­gung un­rich­ti­ger Daten
  • Recht auf Löschung von Daten
  • Be­schwer­de-/Ab­hil­fe­ver­fah­ren konnten in Anspruch genommen werden  

Zur Durch­set­zung und Wahrung ihrer Rechte konnten sich EU-Bürger auch an eine Om­buds­stel­le innerhalb des US-Au­ßen­mi­nis­te­ri­ums wenden. Die Ver­mitt­lungs­in­stanz sollte von allen Nach­rich­ten­diens­ten un­ab­hän­gig sein, den Anliegen von Pri­vat­per­so­nen nachgehen sowie in konkreten Fällen Auskunft erteilen, ob geltendes Recht ein­ge­hal­ten werde. Das Amt wurde al­ler­dings erst 2018 auf Drängen der EU besetzt. Zunächst fungierte Manisha Singh als Om­buds­per­son, im Juni 2019 folgte Keith Krach.

Al­ter­na­tiv konnten sich EU-Bürger an ihre na­tio­na­len Da­ten­schutz­be­hör­den wenden, die sich dann zur weiteren Klärung direkt mit der US Federal Trade Com­mis­si­on (FTC) in Ver­bin­dung setzen konnten. Das Schieds­ver­fah­ren mit einem voll­streck­ba­ren Schieds­spruch war die letzte Instanz, falls keine andere Form der Einigung gefunden werden konnte. Alle Un­ter­neh­men konnten zu­sätz­lich nach den Emp­feh­lun­gen eu­ro­päi­scher Da­ten­schutz­be­hör­den handeln. Jene Un­ter­neh­men, die Per­so­nal­da­ten ver­ar­bei­ten, sind dazu ohnehin ver­pflich­tet.

Vor­aus­set­zung für die Gül­tig­keit des Privacy Shields war ein An­ge­mes­sen­heits­be­schluss der EU-Kom­mis­si­on, der den Ver­ei­nig­ten Staaten an­ge­mes­se­ne Da­ten­schutz­stan­dards für die Spei­che­rung und Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten aus der EU at­tes­tier­te. Der An­ge­mes­sen­heits­be­schluss von 2016 wurde jährlich überprüft und bei Ein­hal­tung des ge­for­der­ten Da­ten­schutz­ni­veaus erneuert. Die EU-Kom­mis­si­on und das US-ame­ri­ka­ni­sche Han­dels­mi­nis­te­ri­um führten die Über­prü­fung gemeinsam unter Einbezug von Sach­ver­stän­di­gen durch. Aus dem Verfahren ging ein öf­fent­lich zu­gäng­li­cher Bericht hervor, der dem Eu­ro­päi­schen Parlament und dem Rat vorgelegt wurde.

Trotz dieser um­fäng­li­chen Maßnahmen zum Da­ten­schutz wurde eine Mas­sen­über­wa­chung nicht komplett aus­ge­schlos­sen. In sechs Bereichen, die bei genauerer Be­trach­tung einen gewissen In­ter­pre­ta­ti­ons­spiel­raum offen lassen, konnten die USA weiterhin Daten sammeln:

  • Be­kämp­fung des Ter­ro­ris­mus
  • Aufdecken von Ak­ti­vi­tä­ten fremder Mächte
  • Kampf gegen die Ver­brei­tung von Mas­sen­ver­nich­tungs­waf­fen
  • Cy­ber­si­cher­heit
  • Schutz von US- und ver­bün­de­ten Streit­kräf­ten
  • Be­kämp­fung trans­na­tio­na­ler kri­mi­nel­ler Be­dro­hun­gen

Privacy Shield: Pro und Contra

Die um­fang­rei­chen Rechte der EU-Bürger, die sich im Falle von konkreten Da­ten­schutz­ver­stö­ßen von US-Un­ter­neh­men über diverse Instanzen be­schwe­ren konnten, zählten zu den Vorteilen der Privacy-Shield-Ver­ein­ba­rung. Eine wichtige Kom­po­nen­te war zudem der Zweck­bin­dungs­grund­satz. Daten durften aus­schließ­lich zu einem im Voraus fest­ge­leg­ten, un­miss­ver­ständ­li­chen und rechtlich zu­läs­si­gen Zweck pro­to­kol­liert und ver­ar­bei­tet werden.

Der EU-US Privacy Shield stieß al­ler­dings von Beginn an auf Wi­der­spruch. Kritikern war das Abkommen nicht weit­rei­chend genug. Man beklagte, dass die For­de­run­gen des Eu­ro­päi­schen Ge­richts­hofs nicht aus­rei­chend erfüllt wurden und viele Un­stim­mig­kei­ten nur kos­me­tisch kaschiert wurden. Da die Stelle des Om­buds­man­nes dem Au­ßen­mi­nis­te­ri­um zu­ge­ord­net war, ver­miss­ten Kritiker eine in­sti­tu­tio­nel­le Un­ab­hän­gig­keit und sahen darin einen Konflikt mit der Da­ten­schutz-Grund­ver­ord­nung (Art. 52 Abs. 1 DSGVO). Außerdem be­män­gel­ten sie, dass be­trof­fe­ne EU-Bürger gegen Ent­schei­dun­gen der Om­buds­stel­le nicht pro­zes­sie­ren konnten.

Ein weiterer Haupt­kri­tik­punkt war, dass die Mas­sen­über­wa­chungs­maß­nah­men keiner Ver­hält­nis­mä­ßig­keits­prü­fung un­ter­la­gen und somit gegen eu­ro­päi­sches Recht verstoßen werde. Die USA seien noch immer zentraler Kon­troll­macht­ha­ber und eine Un­ter­su­chung von na­tio­na­len Auf­sichts­be­hör­den sei nicht erkennbar. Die Kritiker ver­miss­ten außerdem die dringend not­wen­di­ge Kontrolle großer US-On­line­un­ter­neh­men.

Aufgrund dieser Defizite gingen Kritiker und Experten schon damals davon aus, dass das Abkommen einer konkreten Über­prü­fung durch den Eu­ro­päi­schen Ge­richts­hof nicht stand­hal­ten werde und daher keine lang­fris­tig rechts­si­che­re Lösung darstelle. Die auffällig geringen Un­ter­schie­de zu Safe Harbor wurden wie­der­holt an­ge­pran­gert. Viele Kritiker gingen davon aus, dass diverse Da­ten­schutz­schlupf­lö­cher de facto nicht durch den Privacy Shield ge­schlos­sen wurden.

Die Umsetzung des Privacy Shields in der Praxis

Nach dem abrupten Ende des Safe-Harbor-Abkommens war die Un­si­cher­heit in der Wirt­schaft zunächst groß. Man be­fürch­te­te Sank­tio­nen (z. B. Buß­geld­zah­lun­gen), falls bei einer Über­prü­fung eigene Verstöße gegen den Da­ten­schutz fest­ge­stellt würden. Zudem be­deu­te­ten die neuen Be­stim­mun­gen, dass zeit- und kos­ten­auf­wen­di­ge Um­stel­lun­gen im Bereich des Da­ten­schut­zes auf die Un­ter­neh­men zukommen würden.

Viele Un­ter­neh­men stellten damals auf EU-Stan­dard­ver­trags­klau­seln um oder nutzten diese bereits als Al­ter­na­ti­ve bzw. ergänzend zum Safe-Harbor-Abkommen (wie z. B. Facebook). Diese Praxis nahm in der Über­gangs­pha­se bis zur um­fas­sen­de­ren Durch­set­zung des EU-US Privacy Shields zu und wurde im Laufe der Gül­tig­keit des Safe-Harbor-Nach­fol­gers bei­be­hal­ten. Laut einer Studie von Bitkom Research nutzten 2016 bereits 78 Prozent der befragten Un­ter­neh­men Stan­dard­ver­trags­klau­seln, 17 Prozent ver­wen­de­ten Binding Corporate Rules als Grundlage für Da­ten­trans­fers in die USA.

Die Zahlen belegen: Viele Un­ter­neh­men wollten sich in der Praxis nicht mehr aus­schließ­lich auf ein Da­ten­schutz­ab­kom­men verlassen, das wie sein Vorläufer grund­le­gen­de Da­ten­schutz­pro­ble­me und -konflikte nicht aus dem Weg räumte. Jährliche Gül­tig­keits­prü­fun­gen, bei denen das Ende des Privacy Shields immer im Raum stand, ver­stärk­ten das Miss­trau­en. Die al­ter­na­ti­ve bzw. parallele Nutzung von Stan­dard­ver­trags­klau­seln war auch eine Reaktion auf die teils schlep­pen­de Umsetzung von Kern­punk­ten des Privacy Shields in den USA, bei­spiels­wei­se die lange hin­aus­ge­zö­ger­te Besetzung der Position des Om­buds­man­nes.

Fazit: Nur eine Über­gangs­re­ge­lung ohne solides Fundament

Seit In­kraft­tre­ten der DSGVO haben es in­ter­na­tio­na­le Da­ten­schutz­ab­kom­men deutlich schwerer. Der Privacy Shield blieb daher eine pro­vi­so­ri­sche Über­gangs­re­ge­lung, die nur vor­über­ge­hend einen ver­bind­li­chen Rechts­rah­men für in­ter­na­tio­na­le Da­ten­trans­fers zur Verfügung stellte und nach ihrem Scheitern vor allem für Rat­lo­sig­keit und Ver­un­si­che­rung bei be­trof­fe­nen Un­ter­neh­men sorgt.

Das Schicksal des Privacy Shields belegt, dass sich grund­le­gen­de Da­ten­schutz­pro­ble­me in Zeiten zu­neh­men­der Di­gi­ta­li­sie­rung nicht ka­schie­ren lassen, sondern nach­hal­tig im Sinne der DSGVO gelöst werden müssen. Ansonsten wird lang­fris­tig an­ge­leg­ten Busi­ness­mo­del­len, die auf in­ter­na­tio­na­ler Ebene mit per­so­nen­be­zo­ge­nen Daten operieren, das Fundament entzogen.

Ansätze für ein stei­gen­des Da­ten­schutz­be­wusst­sein in den USA und damit auch für eine An­nä­he­rung an die DSGVO sind zumindest derzeit schon erkennbar, wie der Ca­li­for­nia Consumer Privacy Act (CCPA) zeigt. Ob sich al­ler­dings die hohen und durchaus be­rech­tig­ten Standards der DSGVO zu einem weltweit ak­zep­tier­ten Standard ent­wi­ckeln werden und sich auf alle digitalen Han­dels­part­ner über­tra­gen lassen, erscheint an­ge­sichts global höchst un­ter­schied­li­cher Da­ten­schutz­auf­fas­sun­gen eher fraglich.

Die DSGVO, die aktuell noch von anderen EU-Da­ten­schutz-Ver­ord­nun­gen wie der ePrivacy-Ver­ord­nung und -Richt­li­ni­en wie der EU-Cookie-Richt­li­nie ergänzt wird, könnte sich zunehmend als Streit­punkt und Hemmnis in den in­ter­na­tio­na­len Wirt­schafts­be­zie­hun­gen erweisen.

Bitte beachten Sie den recht­li­chen Hinweis zu diesem Artikel.

Zum Hauptmenü