Als Safe Harbor im Oktober 2015 vom Europäischen Gerichtshof gekippt worden war, machte sich zunächst große Unsicherheit hinsichtlich der zukünftigen Übermittlung von personenbezogenen Daten in die USA breit. Das 2016 in Kraft getretene Nachfolgeabkommen Privacy Shield schuf wieder mehr Klarheit. Doch was genau steckt eigentlich hinter dem neuen Abkommen?

In diesem Artikel lesen Sie mehr zu den folgenden Themen:

• Regelungen des Abkommens
• Bedeutung der neuen Datenschutzvereinbarung für Unternehmen
• Kritik an Privacy Shield

EU-US Privacy Shield – Datenschutzvereinbarungen zwischen den USA und der EU

Das Übereinkommen EU-US Privacy Shield (EU-US-Datenschutzschild) regelt den Datenschutz zwischen der Europäischen Union (EU) und den USA. Einerseits klärt das Abkommen, welche Datenschutzbestimmungen die USA für europäische Bürger und Unternehmen einräumen. Andererseits wird darauf eingegangen, was europäische Unternehmen beachten müssen, wenn sie Daten in die USA senden. Den Schwerpunkt legt das Abkommen auf den Schutz personenbezogener Daten, die aus Ländern der EU in die Vereinigten Staaten übertragen werden.

Der Datenschutz und die Datensicherheit in Zusammenhang mit dem Speichern von Daten in der Cloud spielt für Unternehmen vor allem dann eine wichtige Rolle, wenn IT-Dienste von amerikanischen Unternehmen genutzt werden. Betreiben Unternehmen zum Beispiel Dienste in Microsoft Azure, muss die Übertragung und Speicherung personenbezogener Daten besonders berücksichtigt werden. 

So werden Daten durch EU-US Privacy Shield geschützt

Unternehmen dürfen Daten von EU-Bürgern nur unter bestimmten Bedingungen in die USA übertragen. Bis zum Herbst 2015 wurden diese Bestimmungen im sogenannten „Safe Harbor“-Abkommen geregelt. Im Oktober 2015 kippte der Europäische Gerichtshof jedoch dieses Abkommen. So bemängelten die Richter, dass aus Europa stammende Daten in den USA nur unzureichend vor US-amerikanischen Behörden geschützt werden können. Ein neues Abkommen wurde notwendig – und schließlich mit dem EU-US Privacy Shield gefunden.

Das neue Abkommen bietet seit Juli 2016 für betroffene Personen ein hohes Datenschutzniveau und für Unternehmen Rechtssicherheit beim Übertragen von Daten in die USA. So wird nun wesentlich eindeutiger geklärt, wie Unternehmen mit personenbezogenen Daten umgehen können, und wie deren Verwendung kontrolliert und durchgesetzt wird.

Kontrollen sollen Einhaltung der Vorschriften sicherstellen

Besonders wichtig dabei ist die Zusage der USA, den eigenen Behörden den Zugriff auf Daten von EU-Bürgern nur unter strengen Kriterien zu erlauben. Das gilt auch für die Geheimdienste. Dadurch werden Massenüberwachungen ausgeschlossen – und personenbezogene Daten entsprechend geschützt. Die neuen Standards entsprechen, im Gegensatz zum Safe Harbor-Abkommen, den aktuellen europäischen Anforderungen an den Datenschutz. Durch das Durchsetzen von Kontrollen wird darüber hinaus sichergestellt, dass die Vorschriften auch eingehalten werden. Das US-Handelsministerium will zusätzlich wesentlich strenger gegen Datenschutzvergehen amerikanischer Unternehmen vorgehen.

Zudem gibt es in den USA einen Ombudsmann, an den sich EU-Bürger für Beschwerden wenden können. Der Ombudsmann fungiert als Vermittler zwischen Europäern und den Behörden in den USA, die Datenschutzvergehen verfolgen können. Außerdem informiert er die Beschwerdeführer über den Fortgang der Untersuchung.

So wird Privacy Shield angewandt

US-Unternehmen oder Unternehmen, die in den USA Niederlassungen betreiben, können eine Selbstzertifizierung durchführen. Über diese wird festgelegt, dass sich das Unternehmen an die Anforderungen von Privacy Shield hält und der Schutz personenbezogener Daten gewährleistet wird. Auf diese Weise wird das Datenschutzniveau des Unternehmens bezüglich der Zusammenarbeit mit europäischen Unternehmen deutlich erhöht. Die Datenschutzregeln von EU-US Privacy Shield entsprechen dabei dem europäischen Standard.

So attestiert Privacy Shield und dessen Einhaltung Unternehmen ein angemessenes Datenschutzniveau auf Basis von Artikel 25 der europäischen Datenschutzrichtlinie. Damit wird die Voraussetzung dafür geschaffen, dass EU-Unternehmen Daten in die USA transferieren können.

Die Kritik verstummt auch mit der Einführung von Privacy Shield nicht

Die Vorteile von EU-US Privacy Shield liegen auf der Hand: Privatpersonen können sich darauf verlassen, dass ihre Daten nicht unberechtigt verwendet werden. Unternehmen wiederum können nun rechtssicher mit den Daten von EU-Bürgern arbeiten – auch in den USA.

Doch wie schon Safe Harbor steht auch Privacy Shield im Kreuzfeuer der Kritiker. Der Vorwurf: Noch immer sei das Abkommen bei Weitem nicht ausreichend, was den Schutz personenbezogener Daten angeht. So schafft es auch das Inkrafttreten von Privacy Shield nicht, die allgemeine Unsicherheit zu zerstreuen, die mit dem Safe-Harbor-Urteil einherging. In diesem Blogbeitrag finden Sie es eine Reihe von Punkten, die sie speziell zur Safe Habor und EU Datenschutz-Grundverordnung wissen sollten.

Erfahren sie mehr in diesem Special zum Thema Datensicherheit und Datenschutz.