Am 12. Juli trat das "Privacy Shield" in Kraft. Nach Ansicht der EU-Kommission soll der Beschluss ein angemessenes Datenschutzniveau für der Datenübermittlung in die USA gewährleisten und einen sicheren Rechtsrahmen für Unternehmen schaffen. Datenschützer hingegen meinen, es verstoße gegen das europäische Datenschutzrecht.
Nach europäischem Recht ist der Datentransfer in Drittstaaten nur erlaubt, wenn ein angemessenes Datenschutzniveau in dem Zielland gewährleistet werden kann. Dieses Schutzniveau wurde nach Feststellung der Kommission bei Datenübermittlungen an Unternehmen in den USA, die an Safe Harbor teilnahmen, gewährleistet. Nachdem der EuHG in seinem Urteil vom 6. Oktober 2015, Rs. C-362/14 Safe Harbor aufhob, fehlte eine Rechtsgrundlage für Datenübermittlungen in die USA. Ein Kompromiss zwischen der Kommission und den USA war notwendig, um einen neuen Rahmen für den transatlantischen Datenaustausch personenbezogener Daten festzulegen.
Am 12. Juli verabschiedete die Kommission das Privacy Shield. Dazu äußerte Ansip, Vizepräsident der Kommission für den digitalen Binnenmarkt:
"Wir haben den neuen EU-US-Datenschutzschild heute gebilligt. Er wird für den Schutz der personenbezogenen Daten unserer Bürgerinnen und Bürger sorgen und Rechtsklarheit für Unternehmen gewährleisten."
Privacy Shield basiert so wie Safe Harbor auf einem Selbstzertifizierungssystem. Damit Unternehmen weiterhin Daten im Rahmen von Privacy Shield erhalten können, müssen sie sich jedes Jahr neu zertifizieren.
Amerikanische Firmen, die an Privacy Shield teilnehmen wollen, müssen folgende Grundsätze einhalten:
Privacy Shield ist insgesamt Safe Harbor sehr ähnlich und wird von manchen Datenschutzexperten auch als "Safe Harbor 2.0" bezeichnet. Anders als sein Vorgänger bietet Privacy Shield jedoch Rechtsdurchsetzungsmechanismen, die einen wirksamen Datenschutz der Betroffenen gewährleisten sollen.
Um sicherzustellen, dass die Unternehmen ihre Verpflichtungen einhalten, wird das US-Handelsministerium die Liste der teilnehmenden Unternehmen regelmäßig überprüfen und aktualisieren. Bei der Nichteinhaltung der Regeln können Bußgelder von bis zu 16.000 USD und bei anhaltenden Verstößen von 16.000 USD je Tag von der "Federal Trade Commission" (FTC) verhängt werden und von der Privacy Shield Liste gestrichen werden.
Darüber hinaus werden die Europäische Kommission und das US-Handelsministerium jährlich die Überprüfung gemeinsam durchführen, um die Funktionsweise von Privacy Shield neu zu bewerten.
Den betroffenen Personen in der EU steht ein kostenloses Verfahren der alternativen Streitbeilegung zur Verfügung. Sie können sich auch an ihre nationalen Datenschutzbehörden wenden, die dann zusammen mit der Federal Trade Commission dafür sorgen, dass Beschwerden nachgegangen und abgeholfen werden. Als letztes Mittel kann das "Datenschutzschild-Panel", ein verbindliches Schiedsforum, in Anspruch genommen werden.
Bei Beschwerden bezüglich der nationalen Sicherheit können EU-Bürger sich an eine von den US-Nachrichtendiensten unabhängige Ombudsstelle wenden.
Zahlreiche Datenschützer haben Kritik an Privacy Shield geübt. In einer Mitteilung zu Privacy Shield kritisierte Max Schrems unter anderem die Wirksamkeit von dessen Rechtsdurchsetzungsmechanismen. Zudem bleibe das vom EuGH festgestellte Problem der flächendeckenden Massenüberwachung durch die US-Nachrichtendienste ungelöst. Schrems erklärte zu Privacy Shield:
"It is little more than a little upgrade to Safe Harbor, but not a new deal. It is very likely to fail again, as soon as it reaches the CJEU."
Jan Philipp Albrecht, innen- und justizpolitischer Sprecher der Grünen/EFA-Fraktion im Europäischen Parlament äußerte zu Privacy Shield:
„Die Europäische Kommission erteilt den USA einen Blankoscheck für den Transfer personenbezogener Daten aus der EU in die USA und missachtet damit Forderungen aus dem Urteil des Europäischen Gerichtshofs zur Vorgängerregelung Safe Harbor. Die USA bieten bei den individuellen Rechten gegenüber Unternehmen und beim Schutz vor unverhältnismäßiger Überwachung durch Sicherheitsbehörden keinen Datenschutz, der den Standards in der EU gleichwertig ist"
Dr. Thilo Weichert, ehemaliger Landesbeauftragter für Datenschutz Schleswig-Holstein, erklärte ebenfalls zu Privacy Shield (Zeitschrift für Datenschutz, Ausgabe 5/2016):
"Der geplante Beschluss der EU-Kommission verstößt gegen europäische Grundrechte und entspricht nicht den Anforderungen der DS-RL (Datenschutz-Richtlinie). Er darf bzw. sollte nicht gefasst werden; anderenfalls würde er mit größter Wahrscheinlichkeit vom EuGH aufgehoben werden."
Obwohl Privacy Shield eine Verbesserung zu Safe Harbor darstellt, scheint es nur eine Frage der Zeit, bis das Abkommen vom EuGH aufgehoben wird. Insofern sollten Unternehmen es vermeiden, Datenübermittlungen in die USA lediglich auf Privacy Shield zu stützen und stattdessen alternative Mechanismen nutzen.
Wir helfen Ihnen gerne bei der Internationalisierung Ihres Online-Shops. (rg)