Es gibt Hoffnung auf eine Lösung im EU-USA-Datentransfer-Chaos: das Privacy Shield 2.0. Die Europäische Kommission hat einen Entwurf für ein neues Abkommen veröffentlicht — mit Regelungen, die den Schutz personenbezogener Daten von EU-Bürger:innen in den USA verbessern sollen.
Die Entstehung des Privacy Shield 2.0
Seit dem EuGH-Urteil von 2020 ist der Datentransfer zwischen der EU und den USA rechtlich unklar. Der ursprüngliche Privacy Shield wurde für ungültig erklärt, weil er die Anforderungen des europäischen Datenschutzrechts nicht erfüllte.
Privacy Shield 2.0 ist ein neu ausgehandeltes Abkommen zwischen der EU und den USA, das den Austausch personenbezogener Daten zwischen beiden Wirtschaftsräumen regelt — als Nachfolger des 2016 geschlossenen und 2020 gekippten Privacy Shield.
Das Abkommen soll nun die datenschutzrechtlichen Anforderungen erfüllen. Konkret enthält es zwei zentrale Punkte:
- Garantien für angemessenen Datenschutz: Die USA müssen sicherstellen, dass personenbezogene Daten von EU-Bürger:innen angemessen geschützt werden — unter anderem durch ein unabhängiges Beschwerdeverfahren und die Wahrung von Auskunfts- und Löschungsrechten.
- Verstärkte Kontrollen: Die USA müssen ihre Überwachungsprogramme überprüfen und sicherstellen, dass sie die Privatsphäre von EU-Bürger:innen nicht unverhältnismässig beeinträchtigen.
Ein geschichtlicher Exkurs: Die Bedeutung von „Schrems II“
2013 reichte Max Schrems, österreichischer Jurist und Datenschutzaktivist, Klage gegen Facebook ein. Sein Argument: Der Transfer seiner Daten von der EU in die USA verstosse gegen die DSGVO.
Der EuGH gab ihm recht. Die Begründung: Die USA bieten kein angemessenes Schutzniveau für personenbezogene Daten von EU-Bürger:innen — weil das US-amerikanische Überwachungssystem auch Zugriff auf diese Daten umfasst.
Das Urteil hatte weitreichende Folgen. Wer personenbezogene Daten aus der EU in die USA übertrug, musste fortan zusätzliche Massnahmen ergreifen, um den Datenschutz nachweislich zu gewährleisten.
Privacy Shield 1.0 und 2.0 im Vergleich
Privacy Shield 2.0 ist ein wichtiger Schritt — aber kein unumstrittener. Das Abkommen enthält neue Regelungen, die den Datenschutz für EU-Bürger:innen in den USA erhöhen sollen. Ob es die Anforderungen des EuGH vollständig erfüllt, ist offen. Kritiker:innen sagen: nein.
Ähnlichkeiten beider Regelungen
- Beide Abkommen regeln den Austausch personenbezogener Daten zwischen der EU und den USA.
- Beide basieren auf dem Prinzip der Selbstzertifizierung: Zertifizierte Unternehmen verpflichten sich, bestimmte Datenschutzstandards einzuhalten.
- Beide enthalten Regelungen zur Zusammenarbeit zwischen den Datenschutzbehörden der EU und der USA.
Unterschiede
- Privacy Shield 2.0 enthält neue Regelungen zum Schutz personenbezogener Daten von EU-Bürger:innen in den USA.
- Ein unabhängiges Beschwerdeverfahren für Betroffene in den USA
- Erhöhte Transparenz über die Nutzung personenbezogener Daten durch US-Behörden
- Verstärkte Kontrollen der US-Behörden durch die EU
Warum das ganze Aufsehen?
Für Unternehmen, die personenbezogene Daten von EU-Bürger:innen in die USA übertragen, bedeutet Privacy Shield 2.0 eine rechtliche Grundlage — ohne Verstoss gegen europäisches Datenschutzrecht. Für Nutzer:innen bedeutet es: ihre Daten sollen auch jenseits des Atlantiks angemessen geschützt sein.
Kritiker:innen sehen das anders. Das Beschwerdeverfahren für Betroffene in den USA sei nicht unabhängig genug, und die USA hätten ihre Überwachungsprogramme nicht hinreichend eingeschränkt. Die Debatte ist nicht neu — sie ist dieselbe, die schon Privacy Shield 1.0 zu Fall gebracht hat.
Wie Unternehmen sich auf das neue Privacy Shield vorbereiten können
Wer personenbezogene Daten von EU-Bürger:innen in die USA überträgt, sollte jetzt handeln — und nicht auf die Ratifizierung warten.
- Anforderungen von Privacy Shield 2.0 verstehen. Lies das Abkommen und prüf, was sich für dein Unternehmen konkret ändert.
- Eigene Datentransfers bewerten. Welche Übermittlungen sind betroffen? Welche laufen bereits über SCCs oder andere Mechanismen?
- Erforderliche Massnahmen ergreifen. Dazu gehören technische und organisatorische Schutzmassnahmen sowie die Einhaltung der DSGVO.
Konkrete Massnahmen
- Einsatz von Standarddatenschutzklauseln (SCC). SCCs sind Vertragsklauseln, die den Schutz personenbezogener Daten bei internationalen Datentransfers absichern sollen.
- Technische und organisatorische Massnahmen implementieren. Konkret: Datenverschlüsselung, Zugangsbeschränkungen und regelmässige Überprüfung der Datensicherheit.
- DSGVO einhalten. Wer personenbezogene Daten von EU-Bürger:innen verarbeitet, ist an die Datenschutzgrundverordnung gebunden — unabhängig vom Status von Privacy Shield 2.0.
Was jetzt zu tun ist
Die Europäische Kommission hat angekündigt, das Abkommen im Juli 2023 an die USA zu übermitteln. Ratifiziert ist es noch nicht. Sobald das der Fall ist, müssen alle betroffenen Unternehmen die neuen Regelungen erfüllen.
- Hol dir rechtliche Beratung. Eine Anwältin oder ein Anwalt mit Datenschutz-Fokus hilft dir, die Anforderungen von Privacy Shield 2.0 einzuordnen und umzusetzen.
- Bezieh dein Team ein. Mitarbeitende müssen die neuen Regelungen kennen und bei der Umsetzung mitdenken.
- Teste deine Prozesse. Alle betroffenen Abläufe sollten geprüft werden — bevor das Abkommen in Kraft tritt, nicht danach.