Am 10. Juli 2023 nahm die Europäische Kommission einen neuen Angemessenheitsbeschluss an. Um mehr über das neue Abkommen und die Kontroversen zu erfahren, lesen Sie: Das EU-US Data Privacy Framework (Privacy Shield 2.0): Wie wirkt sich der neue Datenschutzrahmen auf Ihr Unternehmen aus.
Privacy Shield ist seit kurzem kein gültiger Rechtsrahmen zum Datentransfer aus der EU und der Schweiz in die USA.
Das Urteil über das Privacy Shield hat auf beiden Seiten des Atlantiks für Aufruhr gesorgt. Den Datenfluss unterbrach es aber nicht. Große Konzere wie Google senden immer noch jede Menge Daten über EU-Bürger in die USA.
Was bedeutet das wirklich für Unternehmen, die Daten übertragen möchten? Was hat sich verändert?
Das Urteil über den Privacy Shield: Der Hintergrund
Was ist der Privacy Shield?
Die EU, die Schweiz und die USA haben Privacy Shield geschaffen, um den Datentransfer zwischen diesen Ländern zu regeln. Überwacht wird das Programm vom US-Handelsministerium.
Unternehmen können Informationen wie ihre Datenschutzrichtlinien online einreichen. Dabei zahlen sie eine geringe Gebühr, die dem Framework hinzugefügt wird. Damit wurde ein einfacherer Mechanismus geschaffen, der die Erstellung von Standardvertragsklauseln (SCC) und verbindlichen Unternehmensregeln (BCR) für individuelle Partner und Arten von Datentransfers ersetzte.
Seit seiner Gründung im Juli 2016 haben sich dem Privacy Shield-Programm über 5300 Unternehmen angeschlossen. Am 16. Juli 2020 hat der europäische Gerichtshof (EuGH) den Privacy Shield für ungültig erklärt. Der schweizer Bundesbeauftragte für Datenschutz und Information (FDPIC) tat am 8. September 2020 dasselbe.
Privacy Shield wurde erstellt, um die internationalen Safe-Harbor-Datenschutzgrundsätze zu ersetzen. Dieses wurde im Oktober 2015 vom EuGH für ungültig erklärt.
Was ist das Safe Harbor Abkommen?
Safe Harbor war ein umstrittenes Abkommen, das dieselbe Funktion hatte wie sein Nachfolger Privacy Shield. 1995 hatte die EU eine Datenschutzrichtlinie erlassen. Also mussten die europäischen Datenschutzgesetze beim Datentransfer in die USA respektiert werden.
Ab Juli 2000 konnten US-Unternehmen die Safe-Harbor-Grundsätze unterzeichnen. Diese ermöglichten ihnen dann personenbezogene Daten über EU-Bürger in die USA zu übertragen.
Warum wurden Privacy Shield und Safe Harbor für ungültig erklärt?
Beide wurden für ungültig erklärt, als Max Schrems, ein Advokat für Datenschutzrechte, seine Fälle vor Gericht brachte.
Die genauen Gründe füllen Hunderte von Seiten mit Rechtsgutachten. Kurz gefasst: Europäische Gerichte befanden den amerikanischen Schutz personenbezogener Daten für unzureichend.
Weitere Informationen zur rechtlichen Bedeutung personenbezogener Daten finden Sie in diesem Artikel:
Es besteht also eine Unstimmigkeit zwischen den Datenschutzbestimmungen in der EU und in den USA. Europäische Gerichte betrachteten diese Lücke als zu groß, um sie mit einem allgemeinen Abkommen wie dem Privacy Shield oder Safe Harbor zu schließen.
Das Problem ist nicht neu. Seit der Gründung von Privacy Shield gab es Gerüchte, dass es aus diesem oder jenem Grund ungültig wird. Der Fall, der das Unwissen endgültig beendete, wird als Schrems II bezeichnet. Er bezog sich ursprünglich auf SCCs, die von Facebook verwendet wurden, aber das Gericht entschied, seine Aufmerksamkeit stattdessen auf den Privacy Shield zu richten.
Darüber hinaus erwähnte der EuGH in seiner Entscheidung zu Schrems II ausdrücklich, dass SCCs für Unternehmen nach wie vor eine gültige Möglichkeit sind, um Datenübertragungen zu rechtfertigen. Gleichzeitig stellten sie fest, dass Datenschutzbehörden und Gerichte die SCCs von Fall zu Fall bewerten werden. Damit stellen sie sicher, dass ein angemessener Datenschutz gewährleistet ist.
Die neue Realität der EU-US Datentransfers nach Privacy Shield
Haftungsausschluss: Piwik PRO verkauft Software, wir geben keine Rechtsberatung. Die technischen Aspekte sind wichtig und wir haben dazu viel zu sagen. Viele der Probleme im Zusammenhang mit internationalen Datentransfers werden jedoch in Gerichtssälen gelöst. Was auch immer Sie tun, Sie sollten sich zusätzlich zu den richtigen technischen Entscheidungen an einen Rechtsberater wenden.
Wie ist der aktuelle Status der EU-US Datentransfers?
Privacy Shield ist keine gültige Rechtsgrundlage mehr für EU-US Datentransfers. Unternehmen verlassen sich heute in der Regel auf ihre eigenen Standardvertragsklauseln (SCC) und verbindlichen Unternehmensregeln (BCR). Dazu muss jede Rechtsgrundlage die Einhaltung der europäischen Datenschutzgrundverordnung (DSGVO) nachweisen.
Was ist die Auswirkung auf mein Unternehmen?
Der Transfer zwischen der EU und den USA kann je nach Umgang mit personenbezogenen Daten riskanter sein. Wir wissen noch nicht, wie viel riskanter es ist. SCCs und BCRs erlauben weiterhin Datentransfers, aber die EU-Datenschutzbehörden (DPA) und Gerichte werden diese individuell bewerten.
Privacy Shield deckte Tausende von Unternehmen ab, darunter Giganten wie Facebook und Google. Jetzt ist diese Gruppenversicherungspolise ungültig. Einzelne Unternehmen sind nun einem höheren Risiko ausgesetzt, dass Verbraucher, Verbraucherrechtsgruppen und Datenschutzbehörden rechtliche Schritte einleiten.
Was kann mein Unternehmen tun, um das Risiko zu minimieren?
Kontrollieren Sie Ihre Daten vollständig und verstehen Sie, welche Datentypen Sie sammeln, speichern und übertragen. Verstehen Sie auch den Weg, den die Daten durchlaufen.
Cloud-Software-Services sind eine gute Möglichkeit. Jedoch verschleiern viele Anbieter, wie sie mit personenbezogenen Daten umgehen. Arbeiten Sie mit transparenten Partnern zusammen, die Ihnen maximale Flexibilität beim Umgang mit Daten aus ihren Diensten bieten.
Dies sollte beinhalten, wo die Daten gespeichert, wie sie in Rechenzentren repliziert werden und wann eine EU-US Datenübertragung stattfinden kann, z. B. für eine Notfallwiederherstellung.
Es ist eine gute Idee eine Partnerschaft mit Anbietern einzugehen, die Prinzipien wie Datenschutz durch Design und Datenminimierung unterstützen. Sobald Sie diese Grundsätze befolgen, gehen Sie mit weniger persönlichen Daten um und minimieren damit Ihr Risiko. Beachten Sie, dass das Hauptproblem bei Privacy Shield und GDPR personenbezogene Daten sind. Anonyme Daten, die eine Person nicht identifizieren können, sind von der kürzlich erfolgten Ungültigmachung von Privacy Shield nicht betroffen.
Lesen Sie in diesem Artikel mehr darüber, wie Sie Einwilligungen am besten einholen können:
Zu diesen Grundsätzen gehört die ausdrückliche Zustimmung der betroffenen Personen, sobald Unternehmen deren Daten sammeln und verarbeiten. Wenn Sie bei der Aufforderung eine ausdrückliche Zustimmung erhalten, die den Datentransfer in andere Länder bewilligt, hat es auf Sie keine Auswirkung, dass das Privacy Shield ungültig ist.
Jeder User sollte über die Verwendung seiner Daten selbst entscheiden können. Unternehmen dürfen nicht annehmen, dass User die Zustimmung zur Datenverarbeitung erteilen, indem sie die Aufforderung ignorieren. Lange Benutzervereinbarungen mit juristischen Jargon sollten auch vermieden werden, um Zustimmungen zum Datentransfer zu verstecken. Die Aufforderung sollte einfach gehalten sein und darstellen, was mit den Daten nach dem Sammeln passiert.
Wer und wo Daten verarbeitet, ist ebenfalls wichtig. Sie minimieren das Risiko, wenn persönliche und besonders sensible Daten von Partnern mit Sitz in der EU verarbeitet werden.
Wie schnell muss mein Unternehmen auf diese Änderungen reagieren?
Derzeit besteht ein geringes Risiko für diejenigen, die ihr Datenhaus nicht in Ordnung haben. Dieses Risiko wird aber wachsen.
Datenschutzbestimmungen werden immer häufiger. Gartner schätzt, dass bis 2023 65% der Weltbevölkerung ihre persönlichen Daten durch eine moderne Regulierung schützen werden.
Seitdem die europäische DSGVO im Mai 2018 rechtsverbindlich wurde, habt die Zahl der Geldbußen zugenommen.
Sollten Sie mehr über Abmahnungen wissen wollen und wie Sie sich dagegen schützen können, ohne auf die Datensammlung zu verzichten empfehlen wir diesen Artikel:
Es gibt bereits viele Beschwerden, die die Einhaltung der SCCs prüfen, die von Google und Facebook im Zuge der Privacy Shield-Entscheidung verabschiedet wurden. Weitere rechtliche Schritte dieser Art sind wahrscheinlich.
Diese Trends waren lange vor der jüngsten Entscheidung vorhanden. Die Datenschutzbehörden kündigen ständig detaillierte Richtlinien für Geldbußen und die Durchsetzung an:
- Details zu GDPR-Bußgeldern in Deutschland wurden im Oktober 2019 veröffentlicht
- Details zu GDPR-Bußgeldern in den Niederlanden (auf Niederländisch), veröffentlicht im März 2019
- Neue Richtlinien für die Online-Verarbeitung personenbezogener Daten in Dänemark (auf Dänisch) wurden im Februar 2020 veröffentlicht
Zwei Jahre nach Inkrafttreten der DSGVO drehen sich die gesetzlichen Räder und nehmen Fahrt auf. Die Ungültigmachung von Privacy Shield ist nur ein weiteres Signal, das auf eine verstärkte Durchsetzung hinweist.
Die Zukunft des EU-US Datentransfers
Die Tatsache, dass es bereits zwei ähnliche Rahmenbedingungen für die Datenübertragung gab, deutet auf die Möglichkeit eines dritten hin. EU- und US-Beamte kündigten Gespräche an, um ein neues Abkommen zu finden. Eine neue Vereinbarung ähnlich des Privacy Shields soll vor Ende des Jahres in Kraft treten . Trotz dieses Optimismus ist es schwierig vorherzusagen, was in naher Zukunft passiert.
Wir berichten über die Entwicklungen zu dem neuen transatlantischen Datenschutzrahmen im Artikel: Privacy Shield 2.0: Was es ist und wie es sich auf Ihr Unternehmen auswirken wird?
Internationale Datenübertragungen fallen unter die allgemeine Kategorie des internationalen Handels. Da der internationale Handel politischen Kräften aller Art unterliegt, gilt dies auch für die Datenübertragung. Es könnte von allem abhängen, vom Zustand der COVID-19-Pandemie bis zu den Ergebnissen der amerikanischen Wahlen im November.
Es gibt jedoch zwei große Trends, die es wert sind, beachtet zu werden.
Grenzen im Internet
Das Internet war früher ein unregulierter Raum. Mit jedem Tag gehört dies mehr und mehr der Geschichte an. Vorschriften für alles, von der E-Commerce-Umsatzsteuer bis hin zur Speicherung personenbezogener Daten, werden immer häufiger. Aus diesem Grund haben verschiedene Länder unterschiedliche Rechtsmethoden zur Regulierung des Internets entwickelt.
Unterschiede der länderspezifischen Rechte führen zu Problemen, wie zum Beispiel zwischen der EU und den USA. Nur für einige dieser Probleme wird es Lösungen geben. Die Zukunft der Datentransfers zwischen der EU und den USA ist jedoch vielversprechend. Die USA und die EU verbinden mehr Faktoren als jene, die sie rechtlich und kulturell voneinander trennen.
Andere Länder bewegen sich jedoch in Bezug auf den Datenschutz nicht in die gleiche Richtung. In diesen Ländern ist es möglich, dass mehr Grenzen zwischen zunehmend isolierten Teilen des Internets entstehen.
Vereinheitlichung der Datenschutzbestimmungen
Europäische und amerikanische Vorschriften dürften sich in eine ähnliche Richtung entwickeln. Viele US-Bundesstaaten haben bereits Datenschutzbestimmungen eingeführt, die Ideen aus der DSGVO übernehmen.
Diese Vereinheitlichung wird schließlich den Datentranfser erleichtern. Dies liegt jedoch nicht daran, dass die Standards niedriger werden. Im Gegenteil, Standards werden höchstwahrscheinlich immer näher an Gesetze wie die DSGVO angeglichen. Während wir davon ausgehen, dass Transfers zwischen der EU und den USA irgendwann einfacher werden, werden einzelne Unternehmen höheren Standards unterliegen.
Wenn Sie die technischen Herausforderungen besprechen möchten, die Sie mit der Datenresidenz, der Erfassung personenbezogener Daten oder der Einhaltung der DSGVO haben, setzen Sie sich mit uns in Verbindung.
