Der EuGh erklärte das Privacy Shield für ungültig (SCHREMS II).

Übertragung personenbezogener Daten in die USA nicht erlaubt. Was bedeutet das für Unternehmen?

Der Europäische Gerichtshof erklärte das Privacy Shield für ungültig. In diesem Artikel geben wir einen Überblick, was das Privacy Shield war, welche Tragweite das Urteil zur Ungültigkeit hat und ob es Lösungen gibt.

Was war das Privacy Shield?

Das Privacy Shield heißt im deutschsprachigen Raum auch Datenschutzschild. Es bezeichnet eine EU-Kommissionsentscheidung vom 12. Juli 2016. Die Datenschutzgrundverordnung erfordert je Drittland (Länder außerhalb der EU) eine explizite Entscheidung der EU-Kommission, ob in das Datenschutzniveau mit dem in der EU vergleichbar ist. Das Privacy Shield definierte, dass das Datenschutzniveau in den USA dem der EU entspricht. Es war die Rechtsgrundlage, mit der US-Dienstleister wie Google, Facebook, Amazon, Microsoft etc. personenbezogene Daten von Personen verarbeiten dürfen, die sich in der EU befinden. Auch war es die Rechtsgrundlage, auf die sich Europäische Unternehmen beziehen konnten, wenn Sie beispielsweise personenbezogene Daten auf der Cloud eines US-Anbieters verarbeiten lassen wollten.

Privacy Shield ungültig
Privacy Shield ungültig

Was hat sich geändert durch den EuGh-Beschluss, das Privacy Shield für ungültig zu erklären?

Am 16. Juli 2020 hat der Europäische Gerichtshof das Privacy Shield für ungültig erklärt. Diese Entscheidung wird Privacy-Shield-Urteil oder auch SCHREMS II genannt. Hintergrund war ein Rechtsverfahren zwischen dem Data Commissioner on Irland und dem Jurist und Datenschutz-Aktivist Max Schrems. Seit SCHREMS II gibt keine Rechtsgrundlage mehr für die Verarbeitung personenbezogener Daten durch US-Dienstleister.

Max Schrems über das Privacy Shield Urteil

Warum ist das Privacy Shield für ungültig erklärt worden?

Max Schrems argumentierte, dass personenbezogene Daten in den USA nicht ausreichend geschützt sind. Der EuGh bestätigte diese Ansicht. Die Übertragung verletze Grundrechte, die in Artikel 8 der Charta der Grundrechte der Europäischen Union definiert sind. Hintergrund sind die umfangreichen Überwachungsgesetze in den USA.

Im Widerspruch: Überwachung in den USA und Grundrechte in der EU

Welche Überwachungsgesetze gelten in den USA?

Siegel der NSA
Überwachungsgesetze

In den USA gelten die Überwachungsgesetze „Foreign Intelligence Surveillance Act“ (FISA), Patriot Act und der CLOUD Act. Insbesondere der FISA stellt eine Inkompatibilität mit den Grundrecht auf Schutz der personenbezogenen Daten dar. Der FISA erlaubt es US-Behörden auf alle Daten zuzugreifen, die durch US-Unternehmen verarbeitet werden. Wenn ein EU-Unternehmen zum Beispiel die AWS- oder Google-Cloud nutzt und dort personenbezogene Daten ihrer Kunden verarbeitet, dürfen US-Behörden darauf zugreifen. Die Überwachung muss nur im Interesse der USA sein. Das kann zur Terrorabwehr sein, schließt aber auch Wirtschaftsspionage nicht aus.

Der FISA widerspricht sich mit den Anforderungen der GDPR, die sich am Ende auf die Charta der Grundrechte der Europäischen Union stützen.

Notwithstanding any other law, the President, through the Attorney General, may authorize electronic surveillance without a court order under this title to acquire foreign intelligence information […]

Foreign Intelligence Surveillance Act

Der FISA auf Wikipedia

Eine Zusammenfassung des Deutschen Bundestags zu den Daten-Zugriffsrechten von US-Behörden.

Welche Grundrechte sind nicht mit dem Privacy Shield vereinbar?

Titelseite der Charta der Grundrechte der Europäischen Union
Charta der Grundrechte der Europäischen Union

Artikel 8 legt den Schutz der personenbezogenen Daten fest. Der Wortlaut ist wie folgt:

Art. 8
Schutz personenbezogener Daten

(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

Charta der Grundrechte der Europäischen Union

Die Charta der Grundrechte der Europäischen Union im Original

Up to date bleiben!

Möchten Sie künftig über Datenschutzthemen und die Arbeit und Angebote von privacy provided informiert werden, melden Sie sich zu unserem Newsletter an.

Sie können uns auch auf Linkedin folgen, aber der Datenschutz liebt Email.

Welche Lösung gibt es für das Privacy Shield-Urteil?

Kurz gesprochen: keine. Die Überwachungsgesetze der USA und die Datenschutz-Anforderungen der EU widersprechen sich. Entweder die EU wertet die Grundrechte ab oder die USA entschärfen die Überwachungsgesetze.

Diverse Lösungsansätze sind ungültig:

Myth 1

Ist die Speicherung der Daten auf Servern in der EU eine ausreichende Alternative zum Privacy Shield?

nein. Der FISA hat keinen geografischen Bezug. Sind die Daten auch auf Servern in der EU gespeichert, muss das US-Unternehmen den Behörden die Daten dennoch bereit stellen.

Max Schrems zur Speicherung in Europa

Myth 2

Hilft es, wenn die Daten ausschließlich durch ein Tochterunternehmen des US-Unternehmens verarbeitet werden?

nein. Die US-Zentralen müssen ihrer Tochtergesellschaften anweisen, die Daten bereit zu stellen.

Für wen der FISA gilt

Myth 3

Privacy Shield: Hilft es, die Daten zu verschlüsseln?

jein. Verschlüsselte personenbezogene Daten sind immer noch personenbezogene Daten. Das heißt, befindet sich der Schlüssel ebenfalls in der Hand des US-Dienstleisters, muss dieser ihn auch den Behörden bereit stellen. Werden Daten hingegen vor der Übergabe an den US-Dienstleister verschlüsselt und der Schlüssel befindet sich nicht der Hand des US-Dienstleisters, ist dies eine denkbare technische Maßnahme. In den meisten Fällen ist dieser Ansatz aber nicht praktikabel, da eine Verarbeitung auf den Serven des US-Dienstleisters erfolgen soll. Dazu muss der US-Dienstleister die Daten entschlüsseln. Dann sie im Zugriff des Dienstleisters und damit im Zugriff der US-Behörden.

Max Schrems zum Thema Verschlüsselung
Weitere Aussagen von Max Schrems zum Thema Verschlüsselung

Myth 4

Helfen die neuen Standardvertragsklausen (SCC)?

nein. Sie lösen in keiner Weise den Konflikt zwischen den US-Überwachungsgesetzen und den Datenschutzanforderungen der EU.

Max Schrems über die neuen Standardvertragsklauseln

Weitere Video-Mitschnitte unserer Talks mit Max Schrems finden Sie auf unserer Video-Seite.

Scroll to Top