Die Aufhebung des Rechtsrahmens für den EU-US-Datentransfer verunsicherte die europäischen Unternehmen. Die Rücknahme der Abkommen bedeutete, dass es keine rechtlichen Mittel für die Übermittlung personenbezogener Daten aus der EU in die USA gibt.
Das neue Angemessenheitsabkommen, bezeichnet oft als Privacy Shield 2.0, scheint ein Lichtblick zu sein. Es soll den Einsatz der Plattformen, die Daten über den Atlantik senden, erleichtern.
Datenschutzexperten befürchten jedoch, dass der neue Rahmen zu vielen Kontroversen führen wird.
Datenschutzaktivisten kündigen bereits an, dass sie ihn, wie die vorherigen Abkommen, vom Gerichtshof der Europäischen Union (EuGH) anfechten werden. Wie sieht also die Zukunft des transatlantischen Datentransfers aus?
Lassen Sie uns zunächst erklären, welche Vorgänge betrafen frühere Rechtsrahmen und was zu ihrem Scheitern führte. Dann konzentrieren wir uns auf den sogenannten Privacy Shield 2.0, der die vom EuGH im Jahr 2020 geäußerten Bedenken ausräumen soll.
Abschließend erörtern wir, wie sich Privacy Shield 2.0 auf die Unternehmen in der EU und den USA auswirkt.
Inhaltsverzeichnis
- Wie entstand der Privacy Shield?
- Schrems II-Urteil: Warum erklärte der EuGH den Privacy Shield für ungültig?
- Wie wirkt sich das Schrems II-Urteil auf die Unternehmen aus?
- Privacy Shield 2.0: Was wir bisher wissen
- Privacy Shield 2.0 stellt europäische Regulierungsbehörden möglicherweise nicht zufrieden
- Wie geht’s mit dem Privacy Shield 2.0 weiter?
- Datenschutzfreundliche Datenerhebung
- Fazit
Wie entstand der Privacy Shield?
Aus der Sicht der Europäer bietet das Rechtssystem der USA im Gegensatz zu dem in Europa keinen umfassenden Datenschutz, der für alle Arten von Daten und alle US-Unternehmen gilt. Daher ist ein Rechtsrahmen für den Transfer personenbezogener Daten aus der EU in die USA erforderlich.
Der Privacy Shield, der solche Prozesse regelte, entstand, um den internationalen Safe-Harbor-Beschluss zu ersetzen. Im Oktober 2015 erklärte nämlich der EuGH das Safe-Harbor-Abkommen für ungültig.
Der Safe-Harbor-Fall und das Schrems I-Urteil
Das sogenannte Schrems I-Urteil setzte das Safe-Harbor-Abkommen außer Kraft. Der Name kommt von dem österreichischen Rechtsanwalt Maximilian Schrems, der den EuGH mit dem Fall befasste.
Schrems beschwerte sich 2013 über den Transfer personenbezogener Daten von Facebook Ireland Ltd. an die US-Muttergesellschaft und den anschließenden Zugriff der US-Sicherheitsbehörden. Der Aktivist argumentierte, dass der Rahmen keinen ausreichenden Schutz für sein Recht auf Privatsphäre in den USA bietet.
Der EuGH stellte fest, dass das Safe-Harbor-Programm personenbezogene Daten nicht angemessen vor „Eingriffen“ der US-Regierung schützt, „die auf Anforderungen der nationalen Sicherheit und des öffentlichen Interesses beruhen“.
Der EU-US-Privacy Shield entstand infolge des Urteils.
Schrems II-Urteil: Warum erklärte der EuGH den Privacy Shield für ungültig?
Privacy Shield trat am 12. Juli 2016 in Kraft. Das Datenschutzabkommen sollte einen verbesserten Rahmen für den sicheren Transfer personenbezogener Daten aus der EU in die USA bieten. Das aktualisierte Abkommen hatte folgenden Aufgaben:
- Die Rechte der in Europa ansässigen Personen wirksam zu schützen
- Ein angemessenes Sicherheitsniveau bei der Verarbeitung ihrer Daten zu gewährleisten
- Einen nahtlosen Datenaustausch zu ermöglichen
- Den Handel zwischen der EU und den USA zu erleichtern.
Am 16. Juli 2020 wiederholte sich die Geschichte und der Gerichtshof der Europäischen Union erklärte das Privacy Shield für ungültig. Der Grund waren die Bedenken hinsichtlich der Überwachung durch US-Staats- und Strafverfolgungsbehörden. Dieses Urteil wurde später als Schrems II bekannt, da es eine Reaktion auf eine neue Klage von Max Schrems war.
Der EuGH stellte fest, dass der Transfer personenbezogener Daten aus der EU in die USA rechtswidrig ist, wenn die Unternehmen nicht garantieren können, dass die Daten vor den US-Geheimdiensten sicher sind.
Das Problem liegt in der Diskrepanz zwischen den Datenschutzvorgaben in der EU und in den USA. Nach Ansicht der EU-Gerichte ist der Unterschied zu groß, um durch ein allgemeines Abkommen wie Privacy Shield oder Safe Harbor abgedeckt zu werden. Auf dieses Thema gehen wir noch später in diesem Artikel ein.
Das Schrems II-Urteil wirkte sich erheblich auf die Wirtschaft aus. Es änderte die Art und Weise, wie Unternehmen und Gesetzgeber an Datentransfer und den Schutz der Privatsphäre der Nutzer herangehen.
Wie wirkt sich das Schrems II-Urteil auf die Unternehmen aus?
Der Privacy Shield betraf Tausende von Unternehmen, darunter Giganten wie Facebook und Google. Diese „Gruppenversicherung” gilt nicht mehr.
Das Schrems II-Urteil führte zu erheblicher Rechtsunsicherheit bei europäischen Unternehmen. Da das Privacy-Shield-Abkommen nicht DSGVO-konform ist, gibt es keinen rechtmäßigen Weg für den Transfer personenbezogener Daten aus der EU in die USA. Dies erschwert die Zusammenarbeit der US-Dienstleisten mit Unternehmen, die sich auf Datenübertragungen verlassen.
Obwohl das Privacy Shield keine gültige Rechtsgrundlage für EU-US-Datentransfers ist, setzen die Unternehmen die Übermittlungen fort. Große Technologieunternehmen wie Google schicken nach wie vor Unmengen von Daten über die EU-Bürger in die USA.
Ohne ein Angemessenheitsabkommen griffen einige Unternehmen, darunter Google, auf Standardvertragsklauseln (SCC) und verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, kurz: BCR) zurück.
Seit dem Urteil zum Privacy Shield reichte die Datenschutzorganisation NOYB 101 Beschwerden gegen Unternehmen ein, die Besucherdaten mit Google Analytics und Facebook Connect sammeln. Die Liste umfasst Vertreter verschiedener Sektoren, wobei Verlage und Finanzinstitute überwiegen.
Datenschutzbehörden in einigen EU-Ländern erließen Bescheide, die den Einsatz von Plattformen wie Google Analytics praktisch verbieten:
- Am 12. Januar 2022 veröffentlichte der österreichische DSB sein Bescheid im Fall eines nicht genannten deutschen Web-Publishers. Die Aufsichtsbehörde erklärte, dass die Verwendung von Google Analytics zur Erhebung von Daten der EU-Bürger gegen die DSGVO verstößt.
- Im April 2022 entschied die CNIL, dass drei französische Websites Google Analytics nicht mehr verwenden dürfen.
- Im Juni 2022 erklärte die italienische Datenschutzbehörde (Garante) den Transfer personenbezogener Daten in die USA mithilfe von Google Analytics für DSGVO-widrig.
- Im September 2022 kam die dänische Datenschutzbehörde Datatilsynet zu dem Schluss, dass Google Analytics nicht mit den Vorgaben der DSGVO übereinstimmt.
Einzelne Unternehmen riskieren jetzt also, dass Verbraucher, Verbraucherschützer und Datenschutzbehörden sie verklagen.

Sie finden mehr Informationen zu diesem Thema in unseren Artikeln:
Privacy Shield 2.0: Was wir bisher wissen
Am 7. Oktober 2022 unterzeichnete Präsident Joe Biden eine Durchführungsverordnung (Executive Order, EO) zur Umsetzung eines neuen EU-US-Datenschutzrahmens. Die EO markiert den Beginn der Arbeit an dem neuen Rahmenwerk.
Der Rahmen ist auch als Privacy Shield 2.0 bekannt und soll die Angemessenheit des Datenschutzniveaus im Sinne der EU-DSGVO beim Datentransfer in die USA gewährleisten. Das neue Abkommen wird voraussichtlich im März 2023 in Kraft treten und die Verwirrungszeit in der transatlantischen digitalen Wirtschaft beenden.
Privacy Shield 2.0 soll die im Schrems II-Urteil geäußerten Bedenken ausräumen. Das Urteil erklärte den Privacy Shield unter anderem deshalb für ungültig, weil die US-Vorschriften den betroffenen Personen keine Rechte verleihen, die sie gegenüber den amerikanischen Behörden gerichtlich durchsetzen könnten.
Bidens Executive Order schränkt die Methoden ein, mit denen die US-Geheimdienste Signale sammeln dürfen. Die EO knüpft die Sammlung von Informationen an mehrere Bedingungen. Die US-Geheimdienste sind verpflichtet zu gewährleisten, dass sie nur streng zugeschnittene Daten sammeln.
Das Weiße Haus erklärte in einem Informationsblatt, die USA hätten „sich verpflichtet, neue Schutzmaßnahmen einzuführen, um sicherzustellen, dass Signalaufklärungsaktivitäten zur Verfolgung definierter nationaler Sicherheitsziele notwendig und verhältnismäßig sind“.
Privacy Shield 2.0. wird es Einzelpersonen in der EU ermöglichen, Rechtsmittel bei einem unabhängigen Datenschutzprüfungsgericht einzulegen. Das Gericht sollte sich aus Mitgliedern von außerhalb der US-Regierung zusammensetzen. Es hätte die volle Befugnis, über Ansprüche zu entscheiden und bei Bedarf Abhilfemaßnahmen einzulegen.
Die Europäische Kommission prüft jetzt das Abkommen und soll es anschließend ratifizieren. Der Prozess kann bis zu sechs Monate dauern.
Privacy Shield 2.0 stellt europäische Regulierungsbehörden möglicherweise nicht zufrieden
Die EO führt eine Reihe zusätzlicher Schutzmaßnahmen ein, um den Zugriff auf die Daten von EU-Bürgern durch die US-Geheimdienste einzuschränken. Sie sieht auch ein Rechtsbehelfssystem für die Bearbeitung von Beschwerden vor. Trotzdem behaupten Datenschutzbefürworter in Europa, dass Bidens Vorschlag zum Scheitern verurteilt ist.
Das von Schrems geführte Europäisches Zentrum für digitale Rechte (NOYB) findet, dass das Datenschutzprüfungsgericht kein echtes Gericht im Sinne des US-Rechts wäre. Sie kritisierten auch den Umfang des Rechtsbehelfs für EU-Bürger.
NYOB behauptet, es gebe keine zusätzliche Garantie, dass sie gehört würden, über das hinaus, was der vorherige Rahmen anbot. „(…) auf den ersten Blick versucht man hier ein drittes Abkommen ohne rechtliche Basis. Ich gehe davon aus, dass auch ein neues Abkommen bald vom EuGH kassiert wird.”, resümierte Schrems.
Erfahren Sie mehr über die Zunahme von Datenschutzpflichten in unserem Artikel: 11 neue Datenschutzgesetze weltweit und wie sie Ihr Analytics beeinflussen
Kontroversen um den Privacy Shield 2.0
Die Exekutivverordnung legt neue Regeln für den Austausch der personenbezogenen Daten zwischen der EU und den USA. Sie könnte aber immer noch hinter den Ansprüchen der EU zurückbleiben. NOYB weist darauf hin, dass die Executive Order aufgrund einiger Probleme mangelhaft sein könnte:
- Die Exekutivverordnung ist kein Gesetz und eine andere EO kann sie leicht außer Kraft setzen. Diese schwache rechtliche Konstruktion stellt den EuGH wahrscheinlich nicht zufrieden.
- Aus der Sicht der USA haben die Europäer kein Recht auf Privatsphäre. Der 4. Verfassungszusatz gewährt sie nur US-Bürgern. Alle Nicht-US-Bürger werden leicht zur Zielscheibe der US-Geheimdienste.
- Die DSGVO bindet nicht die US-Organisationen, die in der EU agieren. Der EO zufolge brauchen sie keine Rechtsgrundlage für die Datenerhebung. Sie sind nur verpflichtet, einen Opt-out-Mechanismus für diejenigen anzubieten, die keine Daten weitergeben wollen. Dies stellt für EU-Unternehmen, die die DSGVO einhalten müssen, einen erheblichen Nachteil dar.
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Dr. Stefan Brink hat Ende Oktober 2022 zur Executive Order des US-Präsidenten Stellung genommen. Er begrüßt die EO als einen wichtigen Schritt vorwärts, äußerte aber einige Bedenken:
- Die EO stellt eine interne Richtlinie für Regierung und nachgeordnete Behörden dar und ist kein parlamentarisch beschlossenes Gesetz.
- Die EU-Bürger können die Einhaltung einer Executive Order nicht einklagen. Die Beschwerden bearbeitende Stelle ist kein unabhängiges Gericht. Das Beschwerdeverfahren ist komplex und schwerfällig.
- Es ist nicht klar, wie sich die Executive Order zu anderen bestehenden US-Vorschriften wie dem Cloud Act verhält.
- Rechtssysteme in der EU und den USA legen den Rechtsbegriff der Verhältnismäßigkeit unterschiedlich aus.
Die Europäische Kommission wird nun zu entscheiden haben, ob ein der Sache nach gleichwertiger Schutz der personenbezogenen Daten in den USA gegeben ist. Fraglich ist bereits, ob die Kommission allein auf Grundlage der Executive Order überhaupt in der Lage ist, das Datenschutzniveau in den USA neu zu bewerten und einen Angemessenheitsbeschluss zu erlassen. Die Vielzahl der noch zu klärenden offenen Fragen lässt Zweifel daran aufkommen.
Der Landesbeauftragte, Dr. Stefan Brink
Warum ist der Privacy Shield 2.0 von Anfang an mangelhaft?
Gehen wir näher auf die Kontroversen ein und erörtern wir ihre Hintergründe und Folgen im Detail.
Der Privacy Shield 2.0 lost möglicherweise immer noch nicht die grundlegenden Probleme beim EU-US-Datentransfer. Beide Parteien vertreten unterschiedliche Ansätze in Bezug auf den Schutz der Privatsphäre von Einzelpersonen. Beide haben unterschiedliche Rechtssysteme, die sie nur schwer mithilfe eines Abkommens angleichen können.
Die Gesetzgebung der USA erlaubt es den Behörden, die für die Erfassung durch Unternehmen notwendigen Daten zu überwachen und freizugeben. Damit sind die Daten der EU-Bürger auf US-Servern nicht ausreichend vor dem Zugriff dieser Behörden geschützt.
Die EU betrachtet die Privatsphäre als ein Menschenrecht, das für alle Personen gilt, während der 4. Verfassungszusatz nur für US-Bürger oder ständige Einwohner gilt. In den Augen der USA haben Europäer keine Rechte auf Privatsphäre. FISA 702 macht sich diesen Unterschied im US-Recht zunutze und erlaubt eine Überwachung, die nach dem 4. Verfassungszusatz illegal ist, solange keine Amerikaner betroffen sind.
Dieses Problem ist alt, denn auch der erste Privacy Shield stellte das Recht der Vereinigten Staaten in den Vordergrund. Er zählte sogar sechs Fälle auf, in denen eine Massenüberwachung erlaubt war. Dies waren nicht die Fälle, in denen die Kontrolle absolut notwendig war. Ferner wurde der Spielraum der europäischen Verbraucher, sich rechtlich zu wehren, eingeschränkt.
Auffallend ist, dass die Europäische Kommission immer noch nicht verlangt, dass die sogenannten Privacy Shield-Grundsätze an die seit 2018 geltende DSGVO angepasst werden. Die Grundsätze sind weitgehend identisch mit den früheren Safe Harbor-Grundsätzen vom Jahr 2000. Sie werden auch im Privacy Shield 2.0 weiterverwendet.
Das bedeutet, dass US-Unternehmen weiterhin europäische Daten verarbeiten dürfen, ohne die DSGVO einzuhalten. So brauchen sie beispielsweise keine Rechtsgrundlage für die Verarbeitung, wie eine Einwilligung. Im Rahmen des Privacy Shields sind US-Unternehmen verpflichtet, den Nutzern lediglich eine Opt-out-Option anzubieten. Und das, obwohl der EuGH betonte, dass es in den USA „im Wesentlichen gleichwertige“ Schutzmaßnahmen geben muss.
Nach den beiden Schrems-Urteilen wirft ein Gutachten des amerikanischen Anwalts Stephen Vladeck Zweifel auf, ob US-Unternehmen und ihre EU-Tochtergesellschaften Daten im Einklang mit der DSGVO verarbeiten. Es beschreibt den aktuellen Stand der US-Überwachungsgesetze und ob US-Unternehmen in der Lage sind, die europäischen Datenschutzstandards einzuhalten. Vladeck behauptet, dass die Verarbeitung von Daten auf EU-Servern nicht ausreicht, um den Zugriff von Behörden oder Geheimdiensten von außerhalb der EU zu verhindern.
Wie geht’s mit dem Privacy Shield 2.0 weiter?
Schon heute birgt der EU-US-Datentransfer Risiken für die Datenschutz-Compliance, insbesondere wenn Sie Technologieprodukte verwenden, die Daten in großem Umfang nutzen, wie Facebook oder Google Analytics.
Nach Ansicht der dänischen Datenschutzbehörde verstößt der Datentransfer bis zum Inkrafttreten des neuen Abkommens gegen die DSGVO. Das Vorhandensein der US-Executive Order stellt keine Rechtsgrundlage für Unternehmen und Behörden dar, um personenbezogene Daten in die USA rechtmäßig zu übermitteln. Sie erfüllt auch die Vorgaben der Schrems II-Urteil nicht.
Der nächste Schritt für die Europäische Union ist das Verfahren für einen sogenannten Angemessenheitsbeschluss für den neuen „Transatlantischen Datenschutzrahmen“. Der Prozess soll die gleichwertigen Datenschutzstandards zwischen der EU und den USA bescheinigen. Er involviert unter anderem den Europäischen Datenschutzausschuss und einen Ausschuss aus Vertretern der EU-Mitgliedstaaten. Ferner hat auch das Europäische Parlament ein Kontrollrecht bei Angemessenheitsbeschlüssen. Das Verfahren wird voraussichtlich bis März 2023 dauern.
Wir sollten jedoch damit rechnen, dass die Datenschutz-NGOs das neue Abkommen vor Gericht anfechten werden. NOYB und seine Partner erklärten bereits, dass sie die Dokumente eingehender prüfen und bald eine detaillierte rechtliche Analyse veröffentlichen werden. Sollte der Beschluss der Europäischen Kommission nicht im Einklang mit dem EU-Recht und den einschlägigen EuGH-Urteilen stehen, wird NOYB wahrscheinlich eine weitere Klage vor dem EuGH einreichen.
Vorerst muss der US-Kongress FISA 702 im Jahr 2023 erneut autorisieren, damit der US-Gesetzgeber sinnvolle Beschränkungen einführt, die die Datenschutzrechte von Nicht-US-Bürgern respektieren.
Datenschutzfreundliche Datenerhebung
Seit dem Schrems II-Urteil, das den EU-US-Datentransfer tatsächlich verbot, aktualisieren viele EU-Organisationen ihre Technologien und Methoden, um sich der neuen Rechtslage anzupassen. Die häufigsten Vorgehensweisen:
- Transfer beschränken/ausschließen und Daten anonymisieren – Die US-Wirtschaftstechnologie hängt stark von der Identifizierung der Nutzer und dem Datentransfer ab. Wenn Sie die Übertragungen begrenzen oder personenbezogene Daten entfernen, lösen Sie dieses Problem, aber es hat seinen Preis. Sagen wir, sie konfigurieren Google Analytics gemäß den Richtlinien der französischen Datenschutzbehörde. Jetzt erfüllt es die Standards der DSGVO, aber er verliert die meisten seiner Funktionen.
- Den Technologie-Stack mit EU-basierter Software aktualisieren – Schrems II öffnete eine Marktlücke für EU-Unternehmen, die Business- und Marketing-Software mit lokalem EU-Hosting anbieten. Diese Alternativen ermöglichen es Unternehmen, sich von der transatlantischen Datentransfer-Prozedur unabhängig zu machen.
Was tun, um das Risiko zu minimieren?
Behalten Sie die volle Kontrolle über Ihre Daten. Ermitteln Sie, welche Art von Daten Sie sammeln, speichern und übertragen. Vergewissern Sie sich, wie und wann sie von einem Ort zum anderen gelangen.
Vielleicht möchten Sie Cloud-Softwaredienste nutzen, was eine vorteilhafte Option ist. Stellen Sie nur sicher, dass die Daten lokal in der EU gespeichert werden und ein EU-basierter Anbieter das Rechenzentrum betreibt. Arbeiten Sie mit transparenten Partnern zusammen, die Ihnen maximale Flexibilität beim Umgang mit Daten bieten.
Es ist eine gute Idee, mit Unternehmen zusammenzuarbeiten, die Werte wie „Privacy by Design“ und Datenminimierung unterstützen. Wenn Sie diese Ansätze befolgen, gehen Sie mit weniger personenbezogenen Daten um und minimieren Ihr Risiko. Denken Sie daran, dass das Hauptproblem bei dem Privacy Shield und der DSGVO der Umgang mit personenbezogenen Daten ist.
Lesen Sie auch mehr zu diesem Thema in unserem Blogbeitrag: 6 Wege wie Sie Daten online sammeln und der Vergleich 6 beliebter Analytics Plattformen
Es ist auch wichtig, wer Daten verarbeitet und wo er dies tut. Sie minimieren das Risiko, wenn Sie personenbezogene und sensible Daten mithilfe von Partnern mit Hauptsitz in der EU und nicht in den USA verarbeiten.
Fazit
Das Internet ist nicht mehr der neue Wilde Westen. Verschiedene Länder entwickeln unterschiedliche rechtliche Methoden, um es zu regulieren. Es entsteht eine Fülle von neuen Vorschriften, von der Umsatzsteuer für den elektronischen Handel bis zu Vorgaben, wo Sie personenbezogene Daten speichern sollten. Unterschiedliche Ansätze führen jedoch zu Problemen wie der derzeitigen Situation beim EU-US-Datentransfer.
Der Privacy Shield 2.0 sollte diese Hürde beseitigen, aber eine politische Erklärung ohne konkreten Rechtstext scheint vorerst nur ein Durcheinander zu verursachen. Daher ist es am sichersten, bei datenschutzfreundlichen Methoden der Datenerhebung zu bleiben.
Die Themen rund um das Privacy Shield 2.0 entwickeln sich dynamisch weiter. Wir werden Sie auf dem Laufenden halten.
Falls Sie mehr über die Datenresidenz, Datenerhebung und DSGVO-Compliance erfahren möchten, kontaktieren Sie uns. Wir beantworten Ihnen gerne jede Frage.