Der EuGh hat auch das Privacy Shield 1 gekippt.

Personenbezogene Daten von EU-Bürgern sind durch die EU-DSGVO geschützt.

Der Schutz beschränkt sich allerdings nur auf den europäischen Raum. Verlassen die Daten diesen Raum ist der Schutz nicht mehr gewährleistet.

Das EU-US Privacy Shield ist ein Datenschutzabkommen zwischen den USA und der EU.

Gemäß der DSGVO Art. 44 dürfen personenbezogene Daten nur dann an ein Drittland übertragen werden, wenn dort ein angemessenes Schutzniveau garantiert wird. Da der Datenschutz in den USA als nicht angemessen erachtet wird, zumal es dort kein allgemeines Datenschutzgesetz gibt, bedarf es eines Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 DSGVO, der ein ausreichendes Schutzniveau bestätigt.

Die EU- Kommission teilte mit, dass durch das neue EU-US Privacy Shield die USA nun durch verbindliche Garantien ein angemessenes Schutzniveau für personenbezogene Daten garantieren, die aus der EU an Unternehmen in Amerika übermittelt werden.

Welche Regelungen werden darin getroffen?

US amerikanische Unternehmen; die personenbezogene Daten von EU-Bürgern verarbeiten, müssen sich beim US-Handelsministerium in eine Liste eintragen und dadurch die Verpflichtung eingehen sich den Regelungen des „Privacy Shield“ zu folgen.

Dazu gehören die

• Einhaltung der Datensparsamkeit- nur die tatsächlichen Angaben erheben und verarbeiten
• Einhaltung der Zweckbindung – die personenbezogenen Daten dürfen nur für den angegebenen Zweck verarbeitet werden
• Einhaltung der Betroffenenrechte, die da sind:
  • Recht auf Information
  • Recht auf Auskunft
  • Recht auf Korrektur falscher Daten
  • Recht auf Löschung
  • Recht auf Widerspruch

Anfragen müssen innerhalb von 45 Tagen beantwortet werden.

Zudem muss eine unabhängige Beschwerdestelle eingerichtet werden, bei denen die EU-Bürger bei Bedarf vorstellig werden können.

Kritik an dem „Abkommen“ wie bei seinen Vorgängern (Safe Harbour oder Privacy Shield 1) ist mögliche Zugriff auf die personenbezogenen Daten von US-Behörden z.B. dem Geheimdienst. Die Behörden haben durch die US-Gesetzgebung weitreichende Befugnisse.

Die EU Kommission hält dagegen, dass neue verbindliche Garantien eingeführt wurden, um auch den vom EuGH geäußerten Bedenken Rechnung zu tragen. Es ist vorgesehen, dass der Zugang von US-Geheimdiensten zu EU-Daten beschränkt ist. Laut Bidens Durchführungsverordnung 14086 vom Oktober 2022 sollen die US-Geheimdienste künftig bei ihren Datensammlungen darauf achten, dass diese “notwendig und verhältnismäßig” sind sowie besser kontrolliert werden können.

Diese Garantien ändern aber nicht, dass immer noch das umstrittenes Überwachungsgesetz FISA bis dato gilt.

Abschnitt 702 des US-Geheimdienstgesetzes Foreign Intelligence Surveillance Gesetzes (FISA) erlaubt Geheimdiensten wie der NSA, ohne konkreten Verdacht und ohne entsprechenden Gerichtsbeschluss, weitreichende Zugriffe auf Kommunikationsdaten von Ausländern („non-US persons“), die von US-amerikanischen Unternehmen wie beispielsweise Google erhoben wurden, auszuwerten.

Nach wie vor haben nur US-Bürger verfassungsmäßige Rechte und dürfen nicht anlasslos überwacht werden.

Es ist fraglich, ob die EU-Kommission eine rechtlich belastbare Regelung gefunden hat. Firmen, die personenbezogene Daten von der EU zu den USA übermitteln müssen, brauchen Rechtsicherheit.

NOYB (My Privacy is None of Your Business) Europäisches Zentrum für digitale Rechte mit Sitz in Wien, die sich der Durchsetzung des Datenschutzes innerhalb der Europäischen Union verschrieben hat, steht bereits mit einer Anfechtung beim EuGH in Startposition. Diese Organisation hatte bereits die beiden Vorgängerversionen vor dem EuGh zu Fall gebracht (Schrems-Urteile benannt nach Herrn Schrems dem Vorsitzenden der NOYB). 

Was bedeutet das für Sie? Haben Sie geschäftliche Verbindungen zu den USA und Austausch von Daten , die personenbezogen sind, dann vergewissern Sie sich ob das Unternehmen in besagter Liste eingetragen ist. Die Big Player wie Google und Meta sind selbstverständlich dabei.