Die Übermittlung personenbezogener Daten in die Vereinigten Staaten ist seit Jahren ein umstrittenes Datenschutzthema. In diesem Artikel gehen wir auf den derzeitigen Rechtsrahmen und die Entscheidung des EuGH zum EU-US Privacy Shield ein.
Personenbezogene Daten dürfen nur dann in ein Drittland übermittelt werden, wenn dieses Land ein angemessenes Schutzniveau bietet (Artikel 44 DSGVO). Nach europäischen Maßstäben wird der Datenschutz in den Vereinigten Staaten in der Regel als unzureichend angesehen, weshalb keine personenbezogenen Daten dorthin übermittelt werden sollten – richtig?
Hier hilft Artikel 45 DSGVO, der klarstellt, dass auch Datenübermittlungen in ein Drittland zulässig sind, sofern die Europäische Kommission in einem angemessenen Urteil festgestellt hat, dass das Datenschutzniveau angemessen ist. Das EU-US Privacy Shield, das am 1. August 2016 in Kraft getreten ist, basiert auf dieser Grundlage.
Es ist wichtig zu verstehen, dass das Privacy Shield kein Vertrag ist, sondern eine Vereinbarung zwischen den Vereinigten Staaten und der Europäischen Union. Im Gegenzug garantierten die USA bestimmte Datenschutzmaßnahmen, und die Kommission erließ das sogenannte Angemessenheitsurteil. Das Privacy Shield ist nun für ungültig erklärt worden. Welche Auswirkungen hat dies auf den Datentransfer zwischen Unternehmen?
Was beinhaltete der EU-US-Datenschutzschild und welche Ziele wurden mit dem Datenschutzschild verfolgt?
Das Privacy Shield erlaubte nicht die Übermittlung von Daten in die Vereinigten Staaten, sondern diente als Grundlage für die Datenübermittlung an US-Unternehmen, die eine gültige Privacy-Shield-Zertifizierung erhalten hatten.
Dazu müssen sich amerikanische Unternehmen, die an der Verarbeitung personenbezogener Daten von EU-Bürgern interessiert sind, beim US-Handelsministerium registrieren lassen. Die Unternehmen erklärten sich bei der Registrierung zwar bereit, die Grundsätze des Privacy Shield zu befolgen, aber es fand keine externe Bewertung statt, weshalb dieses Verfahren als Selbstzertifizierung bezeichnet wird.
Bis vor kurzem mussten EU-Unternehmen und andere Akteure, die personenbezogene Daten in die USA übermitteln wollten, sicherstellen, dass das US-Unternehmen, mit dem sie Daten austauschen wollten, auf der Liste des US-Handelsministeriums stand. Wenn jedoch eine nationale Behörde ein US-Unternehmen als Auftragsverarbeiter einsetzen wollte, reichte die Privacy-Shield-Zertifizierung an sich nicht aus. Es musste auch sichergestellt werden, dass das für die betreffenden Behörden geltende Datenschutzrecht eingehalten wurde.
Die Unternehmen verpflichteten sich bei ihrer Anmeldung zu den folgenden vier Grundsätzen:
Personen in der EU, deren personenbezogene Daten an ein US-Unternehmen übermittelt werden, haben folgende Rechte:
Die Entscheidung des EuGH zum Privacy Shield: Was sind die Auswirkungen der Entscheidung des EuGH zum Datenschutzschild?
Nach einem Urteil des Europäischen Gerichtshofs ist der EU-US-Datenschutzschild nun obsolet: Das so genannte „Privacy-Shield-Urteil“ erklärte das Abkommen für nichtig. Die Begründung ist einleuchtend und knüpft zum Teil an einen langjährigen Kritikpunkt an: Laut EuGH dürfen US-Geheimdienste uneingeschränkt Daten über europäische Bürgerinnen und Bürger abgreifen.
Mit Datensicherheit hat das natürlich nichts zu tun. Das hinterlässt vor allem bei vielen Unternehmen einen schalen Beigeschmack, denn viele ehemals genehmigte interne Anwendungen sind plötzlich nicht mehr zertifiziert. Das gilt für Softwareanwendungen wie Microsoft, für Hosting-Server wie Amazon Web Services und für Cloud-Lösungen wie Dropbox, die im Geschäftsalltag häufig genutzt werden.
Unternehmen: Konsequenzen und Handlungsempfehlungen
Für die Unternehmen besteht nun dringender Handlungsbedarf. Die folgenden Punkte können dabei berücksichtigt werden: