Der Privacy Shield ist derzeit die wichtigste Rechtsgrundlage für den Austausch von personenbezogenen Daten zwischen EU-Mitgliedsstaaten und den USA. Die rechtliche Bedeutung ist besonders für all jene Unternehmen hoch, die am Daten-Transfer und der Speicherung beteiligt sind. Aktuell wird sowohl in den USA als auch der EU intensiv über den zukünftigen transatlantischen Datenschutz diskutiert. Der eco Vorstandsvorsitzende Oliver Süme fasst im Interview die Hintergründe zusammen.
Herr Süme, was genau ist der EU-US Privacy Shield?
Der EU-US Privacy Shield ist ein datenschutzrechtliches Abkommen zwischen der Europäischen Union und den USA. Es bietet europäischen Unternehmen die erforderliche Rechtsgrundlage für die Übermittlung personenbezogener Daten an Unternehmen mit Sitz in den USA. Hintergrund dafür ist, dass nach der Datenschutz-Grundverordnung personenbezogene Daten von EU-Bürgern nur dann in ein Drittland übermittelt werden dürfen, wenn eine von mehreren dafür vorgesehenen Rechtsgrundlagen gegeben ist.
Da in den USA aufgrund eines deutlich anderen Rechtsrahmens aus EU-Sicht kein angemessenes Datenschutzniveau besteht, wurde zwischen der EU-Kommission und der US-Regierung der Privacy Shield verhandelt. Dies war auch deswegen erforderlich, weil die zuvor bestehende Lösung des Safe-Harbor-Abkommens durch den Europäischen Gerichtshof für ungültig erklärt wurde.
Unter dem Privacy Shield können sich US-Unternehmen zertifizieren lassen, wenn sie bestimmte Anforderungen an den Datenschutz erfüllen und damit ein angemessenes Datenschutzniveau nachweisen. Die Zertifizierung erfolgt über das US-Handelsministerium, das auch eine Liste der zertifizierten Unternehmen veröffentlicht.
Warum ist das Abkommen so wichtig?
Der sichere und rechtskonforme Austausch von Daten zwischen der EU und den USA ist für viele europäische Unternehmen ein wichtiger Bestandteil ihrer Geschäftsprozesse. Viele wichtige IT-Dienstleister, Cloud- und ERP-Anbieter, aber auch die zahlreichen Software-as-a-Service-Angebote unterschiedlichster Ausprägung werden von den USA aus angeboten und in der EU genutzt. Sofern dabei personenbezogene Daten verarbeitet werden, bietet der Privacy Shield eine für die europäische Wirtschaft sehr wichtige Rechtsgrundlage.
Dann ist der transatlantische Datenaustausch doch erst mal in sicheren Gewässern?
Jein. Auf der einen Seite bewährt er sich in der Praxis und auch die zweite jährliche Überprüfung durch die EU-Kommission attestiert dem Abkommen die Gewährleistung eines angemessenen Datenschutzniveaus.
Gleichzeitig steht der Privacy Shield aber auch unter Beschuss: Er erfährt teilweise Kritik aus dem Europäischen Parlament. Zudem hat die EU-Kommission bemängelt, dass die nach dem Abkommen zu benennende „Ombudsperson“ durch die US-Administration noch nicht bekannt gegeben wurde und daher noch keine angemessene Behandlung von möglichen Beschwerden betroffener EU-Bürger möglich ist.
Hinzu kommt, dass der Europäische Gerichtshof derzeit eine weitere für die Europäische Union wichtige Rechtsgrundlage für den internationalen Datentransfer überprüft: die von der EU-Kommission genehmigten „Standardvertragsklauseln“, die eine wichtige Alternative zum Privacy Shield darstellen.
Vor diesem Hintergrund wollen wir gemeinsam mit unserem US-amerikanischen Partnerverband i2Coalition im Rahmen der transatlantischen Roundtable-Gespräche den Austausch zwischen den politisch Verantwortlichen und Unternehmen auf beiden Seiten des Atlantiks fördern und den Privacy Shield stärken, um diese wichtige Rechtsgrundlage zu erhalten.
Die bisherigen Veranstaltungen in Brüssel und Berlin dazu waren sehr erfolgreich und haben unter anderem gezeigt, dass sich in den USA derzeit einiges in Sachen Datenschutz tut. Eine ganze Reihe von Gesetzesvorhaben ist dort bereits auf den Weg gebracht, um das Datenschutzniveau insgesamt zu stärken. Auch in die Frage nach der Ombudsperson kommt endlich Bewegung, sodass wir auf einem guten Weg sind.
Daran wollen wir jetzt mit einer weiteren Veranstaltung am 22. Mai in Washington anknüpfen.