Matthias Weber
Datenschutzbeauftragter
Der EU-US Privacy Shield auch EU-US Datenschutzschuld genannt) wurde in den Jahren 2015 und 2016 zwischen der EU und den USA ausgehandelt, nachdem der EuGH das Vorgängerabkommen Safe Harbor mit Entscheidung vom Oktober 2015 für ungültig erklärt hatte.
Notwendig ist ein solches Abkommen deswegen, weil gemäß den Grundsätzen in Art. 44 EU-DSGVO für die Übermittlung von personenbezogenen Daten in ein Drittland ein angemessenes Schutzniveau notwendig ist. Ein solches angemessenes Schutzniveau ist aktuell in den USA nicht vorhanden. Mit dem EU-US Privacy Shield soll dieses Schutzniveau hergestellt werden, da sonst ein rechtskonformer Verkehr von personenbezogenen Daten in ein Drittland nicht möglich ist.
Art. 45 Abs 2 EU-DSGVO besagt, dass wenn durch einen Angemessenheitsbeschluss der Europäischen Kommission festgestellt wird, dass ein Drittland über ein angemessenes Datenschutzniveau verfügt, dann dürfen in diesem Fall personenbezogene Daten übertragen und verarbeitet werden.
Im Prinzip hatte das Vorgängerabkommen Safe Harbor das gleiche Ziel wie jetzt der EU-US Privacy Shield, nur nach Maßgabe der alten EU-Datenschutzrichtlinie. Jedoch hat der EuGH mit Entscheidung vom Oktober 2015 das Safe Harbor Abkommen für ungültig erklärt, weil unteranderem keine ausreichenden Rechtsschutzmöglichkeiten für EU-Bürgern in den USA gegeben waren.
Grundsätzlich können US-Unternehmen freiwillig an dem EU-US Privacy Shield teilnehmen, wenn sie personenbezogene Daten aus der EU verarbeiten möchten. Dazu muss eine Eintragung in eine vom US-Handelsministerium geführte Liste erfolgen, welche auch gleichzeitig eine Selbstzertifizierung des jeweiligen Unternehmens darstellt. Damit verpflichtet sich jedes US-Unternehmen personenbezogene Daten von EU-Bürgern nur nach den Prinzipien des EU-US Privacy Shields zu verarbeiten.
Auf der anderen Seite bedeutet eine freiwillige Eintragung in diese Liste auch, dass den US-Unternehmen Sanktionen drohen, wenn sie gegen die Prinzipien des EU-US Privacy Shields verstoßen.
Ebenso ist eine Streichung aus der Liste bei Verstößen möglich, sodass keine personenbezogenen Daten von EU-Bürgern mehr verarbeitet werden dürfen.
Zudem sind die in der EU-DSGVO verankerten Grundsätze der Datensparsamkeit und der Zweckbindung seitens der US-Unternehmen einzuhalten. Auch sind die Betroffenenrechte Teil des EU-US Privacy Shields. Zudem sind Beschwerden seitens EU-Bürger gegen US-Unternehmen möglich. Ebenso wurde ein Ombudsstelle im US-Außenministerium eingerichtet, an die sich Betroffene bei einer Beschwerde wenden können.
Ein zentraler Kritikpunkt des EU-US Privacy Shields ist der mögliche Zugriff seitens US-Behörden, insbesondere Geheimdienste der USA, auf personenbezogene Daten von EU-Bürgern. Zwar gibt es seitens der US-regierung Zusagen, dass ein Zugriff von US-Behörden auf personenbezogene Daten von EU-Bürgern nicht erfolgt, aber einen verbindlichen Vertrag, der schriftlich fixierte Regelungen enthält, gibt es bis heute nicht. Daher sehen Skeptiker im EU-US Privacy Shield kein ausreichend hohes Schutzniveau gegeben.
Der EuGH hat am 16.07.2020 durch rechtskräftiges Urteil das EU-US Privacy Shield Abkommen für ungültig erklärt. Vorausgegangen waren mehrere Klagen bzw. Beschwerden des österreichischen Juristen und Datenschützer Max Schrems, der verhindern wollte, dass seine personenbezogenen Daten von Facebook Europa an den US-amerikanischen Mutterkonzern gesendet werden. Hauptkritikpunkt war dabei, dass die Übermittlung von personenbezogenen Daten in die USA „Eingriffe in die Grundrechte“ der betroffenen Person ermögliche. Weitere Informationen dazu finden Sie in unserem ausführlichen Artikel zum Thema „Das EuGH-Urteil zum EU-US-Privacy Shield (Schrems II) und die Folgen für Unternehmen„.
Wie bereits oben unter dem Punkt „Kritik“ angemerkt ist das Hauptproblem, dass US-Geheimdienste gemäß Abschnitt 702 des amerikanischen Foreign Surveillance Act (Fisa) dazu befugt sind, die personenbezogenen Daten von ausländischen Nutzern, ohne vorherigen richterlichen Beschluss, zu durchforsten.
Spätestens seit der Whistleblower Edward Snowden Einblicke in die Vorgehensweise der US-Geheimdienste gegeben hat, ist auch klar, dass diese davon auch rege Gebrauch machen.
In seinem Urteil hat der EuGH auch über die Rechtsgrundlage geurteilt, auf der sich eine Datenübertragung in die USA stützen lässt. Dies ließ sich bisher auf zwei verschiedene Möglichkeiten bewerkstelligen. Zum einen auf Grundlage des hier behandelten EU-US Privacy Shields und zum anderen mit Hilfe von sogenannten Standarddatenschutzklauseln (SCC).
In seinem Urteil stellt der EuGH klar, dass das Abkommen „den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang“ einräume. Da „die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt“ seien, sei das Privacy Shield nicht gleichwertig mit dem Unionsrecht, heißt es.
Grundsätzlich sind Standarddatenschutzklauseln eine Art rechtliche Vorlage, die die EU für Unternehmen für die Übermittlung von personenbezogenen Daten in ein Drittland zur Verfügung stellt. Die SCC sind laut EuGH weiterhin gültig, da sie wirksame Mechanismen enthielten, so dass dasselbe Datenschutzniveau wie in der Europäischen Union eingehalten werden könne.
Der EuGH stellte auch nochmals die Wirkweise der SCC ausdrücklich dar: der Exporteur und der Importeuer der personenbezogenen Daten müssen vor dem Datentransfer prüfen, ob ein vergleichbarer Datenschutz wie in der EU gewährleistet sei. Ist dies der Fall, darf der Datentransfer stattfinden. Ist dies dagegen nicht der Fall, dann muss der Datentransfer zwingend ausgesetzt werden.
In dem zu Grunde liegenden Fall des Datentransfers zwischen Facebook Europa und Facebook USA, könnten man sich nun auf den Standpunkt stellen, dass gerade durch das Scheitern des EU-US Privacy Shield ein angemessenes Datenschutzniveau in den USA nicht gegeben ist und somit kein Transfer von personenbezogenen Daten mehr stattfinden darf. So sieht es auch Schrems.
Für Unternehmen lassen sich nun zwei verschiedene Optionen herauskristallisieren. Entweder sie übertragen weiterhin personenbezogene Daten von Betroffenen in die USA, dann aber mit vorher geprüften Standarddatenschutzklauseln, die ein angemessenes Datenschutzniveau in den USA gewährleisten, oder aber es wird auf einen Datentransfer in die USA verzichtet und Alternativen gefunden, wie beispielsweise eine entsprechende IT-Infrastruktur (Rechenzentren, usw.) in Europa zu installieren. Jedenfalls müssen die betroffenen Unternehmen tätig werden, da sonst Bußgelder in Höhe von 20 Millionen Euro bzw. 4% des letztjährig getätigten weltweiten Jahresumsatzes verhängt werden können.
Die EU-Kommission hat das EuGH-Urteil schon kommen sehen und sich entsprechend vorbereitet. Dies bedeutet, dass die EU-Kommission verschiedene Szenarien prüft, die einen möglichen Ersatz des EU-USA Privacy Shields darstellen könnten, dabei steht auch eine Überprüfung der Standarddatenschutzklauseln an.
Dies stellt womöglich aber nur eine Seite der Medaille dar, denn solange die USA ihrerseits nicht für ein angemessenes Datenschutzniveau sorgen, dürften womöglich alle europäischen Vorhaben mehr oder weniger zum Scheitern verurteilt sein.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!