Privacy Shield 2.0: Ein neuer Hoffnungsschimmer für den Datenschutz?

Von Miriam Schäfer
am 13.09.2023
in der Kategorie Datenschutz
veröffentlicht.

Es gibt Hoffnung auf eine Lösung im EU-USA-Datentransfer-Chaos: das Privacy Shield 2.0. Die Europäische Kommission hat einen Entwurf für ein neues Abkommen veröffentlicht. Das Abkommen enthält neue Regelungen, die den Schutz personenbezogener Daten von EU-Bürgern in den USA verbessern sollen.

Die Entstehung des Privacy Shield 2.0

Seit dem Urteil des Europäischen Gerichtshofs im Jahr 2020 ist der Datentransfer zwischen der EU und den USA rechtlich unklar. Der ursprüngliche Privacy Shield wurde für ungültig erklärt, weil er nicht den Anforderungen des Europäischen Datenschutzrechts entsprach.

Privacy Shield 2.0 ist ein neu entwickeltes Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika, das den Austausch personenbezogener Daten zwischen den beiden Wirtschaftsräumen regelt. Es ist eine Nachfolgeregelung für den ursprünglich 2016 geschlossenen Privacy Shield, der 2020 vom Europäischen Gerichtshof für ungültig erklärt wurde.

Privacy Shield 2.0 soll die Anforderungen des Europäischen Datenschutzrechts an einen grenzüberschreitenden Datentransfer nun erfüllen. Dazu enthält es unter anderem folgende Regelungen.

Garantien für den angemessenen Schutz personenbezogener Daten: Die USA müssen gewährleisten, dass personenbezogene Daten von EU-Bürgern in den USA angemessen geschützt werden. Dazu müssen sie unter anderem ein unabhängiges Beschwerdeverfahren für Betroffene einrichten und die Rechte von EU-Bürgern auf Zugang zu ihren Daten und auf Löschung ihrer Daten wahren.
Verstärkte Kontrollen: Die USA müssen ihre Überwachungsprogramme überprüfen und sicherstellen, dass sie nicht den Schutz der Privatsphäre von EU-Bürgern unverhältnismässig beeinträchtigen.

Ein geschichtlicher Exkurs: Die Bedeutung von „Schrems II“

Im Jahr 2013 hatte Max Schrems, ein österreichischer Jurist und Datenschutzaktivist, Klage gegen den US-amerikanischen Telekommunikationskonzern Facebook eingereicht. Schrems argumentierte, dass der Transfer seiner personenbezogenen Daten von der EU in die USA gegen die Datenschutzgrundverordnung (DSGVO) der EU verstösst.

Der EuGH gab Schrems in seinem Urteil Recht. Der EuGH stellte fest, dass die USA kein angemessenes Schutzniveau für personenbezogene Daten von EU-Bürgern bieten. Dies ist darauf zurückzuführen, dass die USA ein weitreichendes Überwachungssystem haben, das auch den Zugriff auf personenbezogene Daten von EU-Bürgern umfasst.

Das Urteil des EuGH hatte weitreichende Folgen für den Datentransfer zwischen der EU und den USA. Unternehmen, die personenbezogene Daten von EU-Bürgern in die USA übertragen, mussten zusätzliche Massnahmen ergreifen, um den Schutz dieser Daten zu gewährleisten.

Privacy Shield 1.0 und 2.0 im Vergleich

Privacy Shield 2.0 ist ein wichtiger Schritt zur Verbesserung des Datenschutzes für EU-Bürger in den USA. Das Abkommen enthält neue Regelungen, die den Schutz personenbezogener Daten erhöhen sollen. Ob es jedoch den Anforderungen des Europäischen Datenschutzrechts vollständig gerecht wird, ist noch nicht abschliessend geklärt. Kritiker argumentieren, dass das Abkommen die Anforderungen des Europäischen Gerichtshofs nach wie vor nicht vollständig erfüllt.

Ähnlichkeiten beider Regelungen

Beide Abkommen regeln den Austausch personenbezogener Daten zwischen der Europäischen Union und den Vereinigten Staaten.
Beide Abkommen basieren auf dem Prinzip der Selbstzertifizierung. Unternehmen, die sich für Privacy Shield oder Privacy Shield 2.0 zertifizieren, verpflichten sich, bestimmte Datenschutzstandards einzuhalten.
Beide Abkommen enthalten Regelungen zur Zusammenarbeit zwischen den Datenschutzbehörden der EU und der USA.

Unterschiede

Privacy Shield 2.0 enthält neue Regelungen, die den Schutz personenbezogener Daten von EU-Bürgern in den USA verbessern sollen.
Dazu gehören unter anderem:
- Ein unabhängiges Beschwerdeverfahren für Betroffene in den USA
- Erhöhte Transparenz über die Nutzung personenbezogener Daten durch US-Behörden
- Verstärkte Kontrollen der US-Behörden durch die EU

Warum das ganze Aufsehen?

Die Bedeutung von Privacy Shield 2.0 für Unternehmen und Verbraucher ist gross. Das Abkommen soll es Unternehmen ermöglichen, personenbezogene Daten von EU-Bürgern in die USA zu übertragen, ohne dass sie gegen das Europäische Datenschutzrecht verstossen. Für Verbraucher bedeutet das Privacy Shield 2.0, dass ihre Daten in den USA weiterhin angemessen geschützt werden.

Kritiker des Privacy Shields 2.0 argumentieren, dass das Abkommen die Anforderungen des Europäischen Datenschutzrechts nicht vollständig erfüllt. Sie bemängeln insbesondere, dass das Beschwerdeverfahren für Betroffene in den USA nicht unabhängig genug ist und dass die USA ihre Überwachungsprogramme nicht ausreichend eingeschränkt haben.

Wie Unternehmen sich auf das neue Privacy Shield vorbereiten können

Unternehmen, die personenbezogene Daten von EU-Bürgern in die USA übertragen, sollten einige Schritte unternehmen, um sich auf Privacy Shield 2.0 vorzubereiten.

Die Anforderungen von Privacy Shield 2.0 verstehen. Unternehmen sollten sich mit den Anforderungen von Privacy Shield 2.0 vertraut machen, um sicherzustellen, dass sie die neuen Regelungen erfüllen.
Die eigenen Datentransfers bewerten. Unternehmen sollten ihre Datentransfers bewerten, um festzustellen, ob sie von Privacy Shield 2.0 abgedeckt sind.
Die erforderlichen Massnahmen ergreifen. Dazu gehören unter anderem die Implementierung technischer und organisatorischer Massnahmen zum Schutz der Daten sowie die Einhaltung der Datenschutzbestimmungen der EU.

Konkrete Massnahmen

Die Verwendung von Standarddatenschutzklauseln (SCC). SCC sind ein Satz von Vertragsklauseln, die den Schutz personenbezogener Daten bei internationalen Datentransfers gewährleisten sollen.
Die Implementierung von technischen und organisatorischen Massnahmen zum Schutz der Daten. Dazu gehören beispielsweise die Verschlüsselung von Daten, die Einschränkung des Zugriffs auf Daten und die regelmässige Überprüfung der Datensicherheit.
Die Einhaltung der Datenschutzbestimmungen der EU. Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen die Datenschutzbestimmungen der EU, wie die Datenschutzgrundverordnung (DSGVO), einhalten.

Abschliessende Tipps für Unternehmen

Die Europäische Kommission hat angekündigt, dass sie das Abkommen im Juli 2023 an die USA übermitteln wird. Die USA haben das Abkommen noch nicht ratifiziert. Sobald das Abkommen ratifiziert ist, müssen Unternehmen, die personenbezogene Daten von EU-Bürgern in die USA übertragen, die neuen Regelungen erfüllen.

Arbeiten Sie mit einem Rechtsberater zusammen. Ein Rechtsberater kann Ihnen helfen, die Anforderungen von Privacy Shield 2.0 zu verstehen und umzusetzen.
Beteiligen Sie Ihre Mitarbeiter. Die Mitarbeiter sollten über die neuen Regelungen informiert werden und bei der Umsetzung mitwirken.
Testen Sie Ihre Prozesse. Unternehmen sollten alle betroffenen Prozesse testen, um sicherzustellen, dass sie den Anforderungen von Privacy Shield 2.0 entsprechen.

Wir bloggen zu

23. Januar 2024Datenschutz

KI Urheberrecht: Endlose laufende Debatten

Das KI Urheberrecht bei erstellten Inhalten wie Texten, Bildern usw. ist komplex und variiert je nach Rechtsprechung und den geltenden

16. Januar 2024Analyse

Digitaler Euro: Info-Sammlung mit 7 Fakten

Ein digitaler Euro könnte das europäische Finanzsystem transformieren und neue Möglichkeiten für digitale Zahlungen und Transaktionen schaffen. Es gibt jedoch

11. Januar 2024Security

Transparenz statt Täuschung: EU-Kommission fordert Offenlegung zu Fake Posts

Die EU-Kommission fordert diverse Social Media Plattformen aufgrund des Israel-Konflikts zur Offenlegung ihrer Massnahmen gegen Fake Posts, Falschinformationen und Hassrede

5. Januar 2024Analyse

Schockierende Trends in der Mediennutzung durch Jugendliche

Alle Jahre wieder führt "Addiction Suisse" Studien unter anderem zur Mediennutzung durch Kinder im Schulalter durch. In den zuletzt präsentierten