Dieser Artikel beschreibt ein aktuelles Ereignis. Die Informationen können sich deshalb rasch ändern.

Der EU-US Privacy Shield (auch EU-US-Datenschutzschild) ist ein Abkommen auf dem Gebiet des Datenschutzrechts, das 2015 bis 2016 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika ausgehandelt wurde. Es besteht aus einer Reihe von Zusicherungen der US-amerikanischen Bundesregierung und einem Beschluss der EU-Kommission.^[1][2] Die Kommission hat am 12. Juli 2016 beschlossen, dass die Vorgaben des Datenschutzschilds dem Datenschutzniveau der Europäischen Union entsprechen; damit kann das Abkommen angewendet werden.^[3][4]

Das Übereinkommen, das kein völkerrechtlicher Vertrag ist, sondern lediglich aus einer Reihe von Briefen besteht,^[5] regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Es war notwendig geworden, nachdem der Europäische Gerichtshof im Oktober 2015 die bis dahin angewendete Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärt hatte.^[6]

Der Abschluss des Übereinkommens war von der Europäischen Kommission am 2. Februar 2016 bekanntgegeben worden.^[7][8]

Eine Voraussetzung hierfür, der Judicial Redress Act, wurde von US-Präsident Barack Obama am 25. Februar 2016 unterzeichnet. Das Gesetz eröffnet EU-Bürgern eine Klagemöglichkeit in den USA, wenn sie eine Verletzung des Datenschutzes geltend machen. Im Unterschied zu amerikanischen Staatsbürgern müssen sie nach Einschätzung des ehemaligen Bundesdatenschutzbeauftragten Peter Schaar aber zunächst versuchen, ihre Rechte auf dem Verwaltungsweg durchzusetzen.^[9][10]

Der Wortlaut des Abkommens, die begleitenden europarechtlichen Beschlüsse und Regelungen wurden am 29. Februar 2016 erstmals veröffentlicht^[11][1] und in der Folge nur noch unwesentlich geändert.^[12] Der Wortlaut der Texte wurde bei der Vorstellung der Reglungen bekanntgegeben.^[3]

Anfang Juli 2016 hatten die meisten EU-Mitgliedsstaaten dem Datenschutzschild zugestimmt; Österreich, Kroatien, Slowenien und Bulgarien haben sich enthalten. Die Bundesdatenschutzbeauftragte Andres Voßhoff erklärte, „insbesondere im sogenannten kommerziellen Teil“ habe die Kommission zuvor „viele Forderungen der Datenschützer berücksichtigt“ und den ursprünglich vorgelegten Entwurf abgeändert. Es solle aber für die Datenschützer keine weitere Möglichkeit mehr zur Stellungnahme geben.^[2]

Während der Übergangszeit orientierten sich die amerikanischen Unternehmen an den Standardvertragsklauseln nach Artikel 26 Absatz 2 der EU-Datenschutzrichtlinie von 1995, denen die europäischen Datenschützer einst zugestimmt hatten. Auf dieses Vorgehen hatte auch die Europäische Kommission verwiesen.^[13][14]

Die Kommission hat den Angemessenheitsbeschluss, dem zufolge „die Garantien für die Übermittlung von Daten auf der Grundlage des neuen EU-US-Datenschutzschilds den Datenschutzstandards in der EU entsprechen“,^[1] nach der Anhörung der Artikel-29-Datenschutzgruppe^[1] am 12. Juli 2016 gefasst und den EU-Mitgliedsstaaten zugeleitet.^[3]

Der Privacy Shield besteht der Ende Februar 2016 veröffentlichen Fassung zufolge aus einem Paket an Regelungen: Dem Abkommen selbst, einem „Angemessenheitsbeschluss“ der Europäischen Kommission und weiteren Texten, die in das europäische Gesetzgebungsverfahren eingebracht werden sollen. Darunter sind die Grundsätze zum Datenschutz, die von den amerikanischen Unternehmen einzuhalten sind, sowie schriftliche Zusicherungen der US-amerikanischen Bundesregierung, die im US-Bundesregister zu veröffentlichen sind. Diese Zusicherungen enthielten „Garantien und Beschränkungen für den Datenzugriff durch Behörden“.^[1]

Die amerikanischen Unternehmen werden sich, ähnlich wie schon zuvor bei der Safe-Harbor-Liste, wiederum in eine entsprechende Liste eintragen und sich selbst dazu verpflichten, die diesbezüglichen Verpflichtungen einzuhalten.^[15]

Die amerikanische Seite habe zur Überzeugung der Europäischen Kommission zugesichert, wirksame Aufsichtsmaßnahmen gegen Unternehmen durchzuführen, die mit Sanktionen bewehrt sind, bis hin zur Streichung aus der Liste der begünstigten Unternehmen. Die Weitergabe von Daten an dritte Unternehmen sei nunmehr an strengere Voraussetzungen gebunden.^[1]

Weiterhin erklärte die EU-Kommission, die amerikanische Regierung habe der EU über das Büro des Direktors der Nachrichtendienste schriftlich zugesichert, den Zugriff auf personenbezogene Daten von EU-Bürgern aus Gründen der nationalen Sicherheit „klaren Beschränkungen, Garantien und Aufsichtsmechanismen“ zu unterwerfen. EU-Bürger könnten sich an einen Ombudsman beim amerikanischen Außenministerium wenden, um Verstößen nachzugehen und prüfen zu lassen, ob ein Unternehmen rechtswidrig gehandelt habe. Alle schriftlichen Auskünfte und Erklärungen der Ombudsstelle würden im US-Bundesregister veröffentlicht.^[1]

EU-Bürgern werden auch gegenüber den amerikanischen Unternehmen Ansprüche eingeräumt. Beschwerden müssten die Unternehmen innerhalb von 45 Tagen nachgehen. Im Streitfall gebe es ein Verfahren zur alternativen Streitbeilegung. Daneben können sich die Bürger aber auch an ihre nationalen Datenschutzbehörden wenden, die gemeinsam mit der Federal Trade Commission Beschwerden nachgehen würden. Unternehmen, die Personaldaten verarbeiten, müssen den Empfehlungen der nationalen Datenschutzbehörden der EU-Mitgliedsstaaten nachkommen; andere Unternehmen können sich hierzu freiwillig verpflichten.^[1]

Die Europäische Kommission werde jährlich einen Bericht über die Erfahrungen mit dem Datenschutzschild erstellen und diesen dem Europäischen Parlament und dem Europäischen Rat zuleiten. Die Überprüfung werde von der Kommission gemeinsam mit dem US-Handelsministerium und durchgeführt. „Sachverständige der US-Nachrichtendienste und der europäischen Datenschutzbehörden“ würden ebenso beteiligt wie Nichtregierungsorganisationen und „sonstige Beteiligte“, die zu einem Datenschutzgipfel eingeladen würden.^[1]

Das Abkommen – die amerikanische Presse sprach von einem „Deal“^[16] – war von Anfang an erheblicher Kritik ausgesetzt. So wies Maximilian Schrems, der Kläger in dem Ausgangsverfahren, durch das die Safe-Harbor-Regelung zu Fall gebracht worden war, schon vor der Veröffentlichung der Einzelheiten darauf hin, dass Zusicherungen der US-Bundesregierung kurz vor der Neuwahl des amerikanischen Präsidenten im November 2016 „in keiner Weise eine ausreichende Grundrechtsgarantie für Hunderte Millionen Europäer darstelle“.^[7] Im Juli 2016 konkretisierte er seine Kritik in einem Interview im Deutschlandfunk dahingehend, es werde nach seinem Dafürhalten nach dem Inkrafttreten des Beschlusses über den EU-US-Datenschutzschild keine wesentlich andere Rechtslage geben als zuvor unter der Geltung von Safe-Harbor: „Da steht genauso drin, US-Recht hat Vorrang, wenn US-Recht sagt, die Daten dürfen abgefangen werden, dann dürfen die abgefangen werden. … Wenn man … die Dokumente anschaut …, steht da ausdrücklich drin, dass es für sechs Fälle auf jeden Fall noch Massenüberwachung gibt. Und dann ist es auch so, dass diese Definition, was Massenüberwachung eigentlich ist, bei den Amerikanern ein bisschen skurril ist.“^[17][18] Zusammen mit dem grünen Europaabgeordneten Jan Philipp Albrecht bezog Schrems parallel zu der Vorstellung des Privacy Shield am 12. Juli 2016 bei einer Pressekonferenz in Brüssel Position gegen das Abkommen.^[19]

Nach Prüfung der veröffentlichten Unterlagen wurde der Privacy Shield auch von 27 Bürgerrechtsorganisationen^[20] und von Datenschützern^[21] abgelehnt. Moniert wurde vor allem, dass das Abkommen rechtlich nicht verbindlich sei, weil es sich dabei um keinen Vertrag, sondern lediglich um eine Sammlung von Briefen handele. Auch blieben Massenüberwachungsmaßnahmen durch die amerikanische Regierung weiterhin zulässig. Sie unterlägen insbesondere keiner Verhältnismäßigkeitsprüfung, was gegen europäisches Recht verstoße. Außerdem könnten die Betroffenen ihre Rechte weiterhin nicht wirksam verfolgen, weil sie von der Überwachung gar nicht erführen. Deshalb helfe ihnen auch der Ombudsmann nicht, der zudem nicht über die hierzu notwendigen Befugnisse verfüge.^[5]

Die Artikel-29-Datenschutzgruppe hatte in einer Stellungnahme am 13. April 2016 Bedenken gegen den Privacy Shield angemeldet. Die Datenschützer führten aus, es liege weiterhin eine flächendeckende und anlasslose Überwachung der EU-Bürger vor. Weiterhin sei darin das Datenaufbewahrungsprinzip nicht anerkannt worden. Dem vorgesehenen Ombudsman fehle es – als Beamter des amerikanischen Außenministeriums – an der nötigen Unabhängigkeit.^[22][23]

Am 24. Mai 2016 hatte auch das Europäische Parlament mit 501 zu 119 Stimmen in einem gemeinsamen Entschließungsantrag die Kommission aufgefordert, den bekannten Mängeln des Privacy Shields abzuhelfen.^[24][25]

• Netzwerk Datenschutzexpertise (Hrsg.): Privacy Shield – Darstellung und rechtliche Bewertung. 7. März 2016. Abgerufen am 28. März 2016.

• EU-U.S. Privacy Shield: Frequently Asked Questions – Fragen und Antworten zum EU-US-Datenschutzschild (englisch)
• Überblick zur Kritik am EU-US Privacy Shield – im Blog netzpolitik.org

1. ↑ ^{a b c d e f g h i} Europäische Kommission stellt EU-US-Datenschutzschild vor: verbindliche Garantien zur Wiederherstellung des Vertrauens in den transatlantischen Datenverkehr. In: europa.eu. 29. Februar 2016, abgerufen am 29. Februar 2016. 
2. ↑ ^{a b} Christiane Schulzki-Haddouti: EU-US-Datentransfer: EU-Mitgliedstaaten stimmen Privacy Shield zu. In: heise online. 8. Juli 2016, abgerufen am 10. Juli 2016 (deutsch). 
3. ↑ ^{a b c} Europäische Kommission lanciert EU-US-Datenschutzschild: besserer Schutz für den transatlantischen Datenverkehr. In: europa.eu. 12. Juli 2016, abgerufen am 12. Juli 2016. 
4. ↑ Martin Holland: Privacy Shield: Umstrittene Regeln für Datentransfers in die USA treten in Kraft. In: heise online. 12. Juli 2016, abgerufen am 12. Juli 2016 (deutsch). 
5. ↑ ^{a b} Bürgerrechtler und Datenschützer lehnen Safe-Harbor-Nachfolger ab. In: Haufe.de News, Compliance. 24. März 2016, abgerufen am 28. März 2016 (deutsch). 
6. ↑ Europäischer Gerichtshof: Urteil in der Rechtssache C-362/14 – Maximillian Schrems gegen Data Protection Commissioner. In: eur-lex.europa.eu. Abgerufen am 29. Februar 2016. 
7. ↑ ^{a b} Einigung zwischen EU und USA: Safe Harbor heißt jetzt "EU-US-Privacy Shield". In: heise online. 2. Februar 2016, abgerufen am 29. Februar 2016 (deutsch). 
8. ↑ Kommission und Vereinigte Staaten einigen sich auf neuen Rahmen für die transatlantische Datenübermittlung: den EU-US-Datenschutzschild. In: europa.eu. 2. Februar 2016, abgerufen am 29. Februar 2016. 
9. ↑ Stefan Krempl: Datenschutz: EU-Bürger erhalten theoretisch Klagemöglichkeit in den USA. In: heise online. 25. Februar 2016, abgerufen am 29. Februar 2016 (deutsch). 
10. ↑ Peter Schaar: Ist das "Privacy Shield" endlich ein sicherer Hafen? In: heise online. 2. Februar 2016, abgerufen am 29. Februar 2016 (deutsch). 
11. ↑ Stefan Krempl: Privacy Shield: EU-Kommission veröffentlicht Text für löchrigen Datenschutzschild. In: heise online. 29. Februar 2016, abgerufen am 29. Februar 2016 (deutsch). 
12. ↑ Ingo Dachwitz: Privacy Shield: Neue Grundlage für transatlantischen Datenverkehr gilt jetzt – noch. 12. Juli 2016, abgerufen am 13. Juli 2016 (deutsch). 
13. ↑ Hauke Gierow: Safe-Harbor-Urteil: Google und Microsoft suchen neue Wege des Datentransfers. In: www.golem.de. 16. Oktober 2015, abgerufen am 19. Juni 2016. 
14. ↑ European Commission - PRESS RELEASES - Press release - First Vice-President Timmermans and Commissioner Jourová 's press conference on Safe Harbour following the Court ruling in case C-362/14 (Schrems). In: europa.eu. Abgerufen am 19. Juni 2016. 
15. ↑ Europäische Kommission: EU-U.S. Privacy Shield: Frequently Asked Questions. In: europa.eu. 29. Februar 2016, abgerufen am 29. Februar 2016. 
16. ↑ Mark Scott: Europe Approves New Trans-Atlantic Data Transfer Deal. In: The New York Times. 12. Juli 2016, ISSN 0362-4331 (nytimes.com [abgerufen am 13. Juli 2016]). 
17. ↑ Datenschutzvereinbarung: „Da steht genauso drin: US-Recht hat Vorrang“. Maximilian Schrems im Gespräch mit Mario Dobovisek. In: Deutschlandfunk. 5. Juli 2016, abgerufen am 10. Juli 2016 (deutsch). 
18. ↑ Markus Beckedahl: Privacy-Shield: „Da steht genauso drin, US-Recht hat Vorrang“. In: netzpolitik.org. 5. Juli 2016, abgerufen am 10. Juli 2016 (deutsch). 
19. ↑ Jan Weisensee: Privacy Shield: Also wieder vor Gericht ziehen? In: netzpolitik.org. 12. Juli 2016, abgerufen am 12. Juli 2016 (deutsch). 
20. ↑ Transatlantic coalition of civil society groups: Privacy Shield is not enough - renegotiation is needed. In: EDRi. 16. März 2016, abgerufen am 28. März 2016 (englisch). 
21. ↑ Privacy Shield – Darstellung und rechtliche Bewertung. Netzwerk Datenschutzexpertise, 7. März 2016, abgerufen am 28. März 2016. 
22. ↑ Artikel-29-Datenschutzgruppe: Opinion 01/2016 on the EU–U.S. Privacy Shield draft adequacy decision. 13. April 2016, abgerufen am 14. April 2016 (englisch). 
23. ↑ Axel Spies: USA-EU Privacy Shield: die Datenschutzbehörden sind nicht so ganz einverstanden. In: blog.beck.de. Abgerufen am 13. April 2016. 
24. ↑ Gemeinsamer Entschließungsantrag zur transatlantischen Datenübermittlung - RC-B8-0623/2016. In: www.europarl.europa.eu. Abgerufen am 19. Juni 2016. 
25. ↑ EU-Parlament: Privacy Shield muss überarbeitet werden. In: derStandard.at. Abgerufen am 19. Juni 2016.