Privacy Shield – Datenschutzabkommen ungültig
Am 16. Juli 2020 wurde das Datenschutzabkommen EU-US Privacy Shield für ungültig erklärt. Gekippt wurde das Abkommen vom höchsten EU-Gericht, dem Europäischen Gerichtshof (EuGH), aufgrund fehlender Schutzmaßnahmen von Daten. Von der Entscheidung sind zahlreiche bekannte Unternehmen betroffen, die bis dahin mit dem Privacy Shield gearbeitet haben.
Der Privacy Shield besteht aus Regelungen, die den Daten-Transfer zwischen Europa und der USA betreffen und für genügend Schutz der Daten sorgen sollen. Zwar unterlagen die Unternehmen dadurch strengere Voraussetzungen den Datenschutz betreffend, allerdings waren diese sehr wage formuliert. So sprach man von Garantien und Beschränkungen der Datennutzung, aber keinen konkreten Unterlassungen. Kurz gesagt: Unternehmen schickten weiterhin Kundendaten an Dritte, nur halt etwas weniger als sonst.
Folgende Unternehmen haben bis jetzt mit dem Policy Shield gearbeitet:
- Social-Media-Plattformen wie Facebook, Twitter, Instagram, LinkedIn und Pinterest
- Google und weitere Google-Dienste
- WordPress und Newsletter-Anwendung MailChimp
- Youtube, SoundCloud und Spotify
- PayPal und Klarna
- Videokonferenz-Programme Zoom, Skype für Business und Microsoft Teams
- Amazon Partnerprogramm
Harte Kritik für den Privacy Shield
Der Privacy Shield musste in den letzten Jahren harte Kritik einstecken – vor allem der Österreicher Maximilian Schrems hatte ein kritisches Auge auf das Abkommen geworfen. Vor einigen Jahren verklagte der damalige Jura-Student die Facebook Ireland Ltd., weil das Unternehmen Nutzerdaten auf US-Servern lagerte. Auf die Server haben auch US-Geheimdienste Zugriff, und so wurden die Daten von den Geheimdiensten an Dritte weitergeleitet. Zu dieser Zeit war noch der Vorgänger des Privacy Shield in Kraft, die Safe-Harbour-Vereinbarung. Diese wurde aufgrund der Klage für ungültig erklärt, was Facebook und viele weitere Unternehmen allerdings nicht daran hinderte, weiterhin Daten in die USA zu schicken.
Jetzt befindet sich das Privacy-Shield-Abkommen auf der Anklagebank, vorgeworfen wird ihm ein zu niedriges Schutzniveau. Eigentlich sollte ein Datenschutz-Abkommen den Voraussetzungen der DSGVO entsprechen, aufgrund der Gesetzgebung der USA ist man davon aber weit entfernt. So erklärt Maximilian Schrems: Im Abkommen steht, dass das US-Recht Vorrang hat. Ist es also laut US-Gesetz erlaubt, EU-Daten abzufangen, dürfen diese tatsächlich abgefangen werden. Auch Massenüberwachung ist hierbei ein wichtiger Begriff, denn es gibt US-Gesetze, die diese Art der Bewachung erlauben – und von denen Betroffene gar nichts wissen. Das bedeutet auch wenn Nutzer ihre Rechte verfolgen wollen, ist ihnen das gar nicht zu hundert Prozent möglich, da viele gar nichts von der Überwachung und Nutzung ihrer Daten erfahren.
Vorgehensweisen für Unternehmen
Aufgrund dieser Kritikpunkte wurde der Privacy Shield von 27 Bürgerrechtsorganisationen und Datenschützern abgelehnt und vom EuGH für ungültig erklärt. Aber welche Auswirkungen bringt diese Entscheidung mit sich? Unternehmen, die bis dahin mit dem Privacy Shield gearbeitet haben, bieten sich drei mögliche Vorgehensweisen an:
- Sie können nach der EU-Standard-Vertragsklausel Daten in die USA schicken, dabei muss aber für ausreichend Sicherheit gesorgt werden – und das ist mit den jetzigen US-Gesetzen fraglich.
- Eine weitere Möglichkeit wäre die Zustimmung der Nutzer zur Übertragung von Daten: Der Nutzer muss einer Vermittlung seiner Daten an die USA einwilligen.
- Als dritte Variante könnten Unternehmen, die Nutzerdaten bisher auf US-Servern gespeichert haben, auf EU-Server umsteigen. Somit ist die nötige Sicherheit gewährleistet und Daten bleiben geschützt.
Quellen:
eRecht24 - EuGH erklärt Privacy Shield für ungültig
Heise - Aus fürs Privavy Shield
Computerwoche - Aufregung um gekipptes Privacy Shield