Nachfolger für Safe-Harbor: Privacy Shield
Im Oktober 2015 hatte der Europäische Gerichtshof (EuGH) überraschend das Safe-Harbor-Abkommen zwischen der EU und den USA für ungültig erklärt. Vor allem deswegen, weil er die Daten nicht ausreichend vor dem Zugriff von Behörden und Geheimdiensten geschützt sah. Dadurch war die Übertragung personenbezogener Daten von europäischen Unternehmen auf Server in den USA von jetzt auf gleich untersagt. Das sorgte für Unruhe und Unsicherheit, insbesondere bei kleineren Unternehmen, die auf diesen Datenaustausch angewiesen sind. Denn betroffen ist z.B. die Nutzung nachgefragter Cloud-Dienste wie Dropbox, Google Drive, Microsoft Office 365 und Salesforce.
Nach einer angesetzten Übergangsfrist bis Ende Januar 2016 ist nun ein Nachfolgeabkommen auf den Weg gebracht, das den Namen “EU-US Privacy Shield” trägt. Dieses neue “Datenschutzschild” zielt vor allem auf Kundendaten, soll den Austausch personenbezogener Kundendaten zwischen der EU und den USA schützen. Außerdem soll es betroffenen Bürgern erleichtern, Beschwerden einzureichen, wenn sie den Schutz ihrer Daten gefährdet sehen. Auch staatliche Kontrollen sollen vereinfacht werden.
Privacy Shield bedeutet zunächst vor allem eins: die Übertragung personenbezogener Daten auf Server in den USA ist wieder zulässig. Ohne Privacy Shield wäre die Nutzung von US-Cloud-Diensten verboten und könnte Bußgelder von bis zu 300.000 Euro nach sich ziehen.
Allerdings gibt es viel Skepsis: Die Datenschutzbehörden halten die Privacy-Shield-Regelungen für nicht ausreichend und sehen eine hohe Wahrscheinlichkeit, dass der EuGH auch dieses Abkommen für nichtig erklärt.
Die drei wesentlichen Eckpunkte von Privacy Shield sind:
- Strenge Datenschutz-Auflagen für US-Unternehmen, die personenbezogene Daten aus der EU empfangen wollen
- Transparenz und Schutz beim Zugriff von Behörden und Geheimdiensten
- Etablierung von Beschwerde- und Abhilfeverfahren zum Schutz der EU-Bürger
Die Details der Vereinbarung sind allerdings noch nicht ausgearbeitet, so dass die genaue Zusammenarbeit zwischen europäischen und US-Unternehmen bei der Datenübertragung nach wie vor unklar ist.
Zu den Kritikpunkten gehört u.a. dass der Zugriff von Geheimdiensten auf Daten nach wie vor nicht ausgeschlossen ist. Zwar soll es gemäß Privacy Shield keine wahllosen Massenüberwachungen mehr geben, davon ausgenommen sind aber u.a. Terrorismusbekämpfung, Spionageabwehr oder die Verfolgung internationaler krimineller Bedrohungen. Für diese Zwecke dürfen nach wie vor Daten massenhaft erfasst werden.
Das Ganze ist also noch längst nicht in trockenen Tüchern, Unwägbarkeiten und Klärungsbedarf bleiben. Da Privacy Shield neben Binding Corporate Rules und EU-Standardvertragsklausen derzeit aber die einzige Grundlage für den Datenaustausch ist, sollten sich betroffene EU-Unternehmen informieren, ob die jeweiligen US-Unternehmen Safe Harbor gezeichnet hatten und dies auch für Privacy Shield versprechen. Wobei man wissen muss, dass die Zeichnung dieser Abkommen eine Selbsterklärung der Unternehmen ist und keine Zertifizierung von unabhängiger Stelle erfolgt.
Liste der Unternehmen, die die Einhaltung von Safe Harbor gezeichnet hatten: safeharbor.export.gov. |
Quellen: |
Bild: |
Legal, Web |