Privacy Shield 2.0: Neustart für den transatlantischen Datentransfer EU und USA

Kategorie(n): DSGVO
Veröffentlicht am 14.09.2023

Einleitung

Das wichtigste zuerst: Durch das am 10. Juli 2023 eingetretene EU – US Data Privacy Framework (DPF) ist der Datenaustausch und damit die Nutzung von Tracking-/ Analytic- und Marketing-Tools aus den USA (z.B. Google Analytics, Webflow, Youtube, Cloudflare, etc.) zwischen EU und USA unter bestimmten Voraussetzungen wieder möglich

Welche das sind und worauf du als Unternehmer oder Websiteverantwortlicher achten musst, erfährst du im folgenden. Vorher schauen wir uns an,was das Privacy Shield überhaupt ist und warum eine Version 2.0 notwendig war.

Das Ende des Privacy Shield 1.0

Was war das Privacy Shield 1.0?

Privacy Shield 1.0 trat 2016 in Kraft und war ein Datenschutzabkommen zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA), das den internationalen Datentransfer von personenbezogenen Daten zwischen beiden Regionen regelte. Es wurde entwickelt, um sicherzustellen, dass personenbezogene Daten von EU-Bürgern, die in die USA übertragen wurden, angemessen geschützt wurden.

Dieses Abkommen wurde 2020 aufgrund von Bedenken hinsichtlich des Datenschutzes und des Zugriffs der US-Regierung auf Daten für ungültig erklärt und im Juli 2023 durch Privacy Shield 2.0 ersetzt.

Warum wurde das Privacy Shield 1.0 aufgehoben?

Im Juli 2020 entschied der Europäische Gerichtshof (EuGH), dass die Datenschutzrechte der EU-Bürger nicht ausreichend gewährleistet waren, insbesondere aufgrund des breiten Zugriffsrechts der US-Geheimdienste darauf.

Auswirkungen auf Unternehmen und Datenschützer

Von da an wurde das Nutzen von Diensten, Programmen und Tools, die beim Aufrufen von Webseiten die personenbezogenen Daten des EU-Bürgers an Server in die USA übermitteln, unzulässig. Es war nur noch unter umfangreichen Maßnahmen (z.B. nur nach ausführlicher Erklärung im Cookie-Banner und Einwilligung des Besuchers einsetzbar. Das war jedoch nie eindeutig rechtssicher, man bewegte sich immer in einer Grauzone, weil es einfach keine 100% Vorgabe und Lösung gab.

Privacy Shield 2.0: Die Wiederbelebung

Was bringt dasPrivacy Shield 2.0 mit sich?

Privacy Shield 2.0 wurde entwickelt, um die Lücken des vorherigen Abkommens zu schließen und den Datenschutz im internationalen Datentransfer zu gewährleisten.

Die USA gewährleistet darin, dass die Daten, die aus der EU an US-Unternehmen übermittelt werden, im Schutzniveau der EU zu verarbeiten. Allerdings nur bei Unternehmen, die an dem Abkommen teilnehmen. Dafür müssen Unternehmen durch ein Selbstzertifizierungsverfahren des US-Handelsministeriums. Diese Zertifizierung muss jedes Jahr neu erfolgen.

Unterschiede zwischen Privacy Shield 1.0 und 2.0

Privacy Shield 2.0 wurde mit dem klaren Ziel entwickelt, einen verbesserten Schutz der Privatsphäre und Datensicherheit zu bieten.

Hier sind einige konkrete Unterschiede zwischen Privacy Shield 1.0 und 2.0:

  • Strengere Überwachung und Durchsetzung: Privacy Shield 2.0 führt eine effektivere Überwachung und Durchsetzung der Datenschutzbestimmungen ein. Die US-Behörden verpflichten sich, die Einhaltung strikterer Regeln und Vorschriften zu gewährleisten.
  • Klare Begrenzung von Zugriffsrechten: Privacy Shield 2.0 gibt klarere Begrenzungen für den Zugriff der US-Regierung auf europäische Daten vor. Dies soll den Datenschutz der EU-Bürger besser schützen.
  • Stärkere Verpflichtungen für Unternehmen: Unternehmen, die Privacy Shield 2.0 nutzen möchten, müssen sich stärkeren Verpflichtungen unterziehen. Sie müssen beispielsweise unabhängige Streitbeilegungsmechanismen zur Verfügung stellen und jährliche Compliance-Überprüfungen durchführen.
  • Mehr Transparenz: Größerer Schwerpunkt auf Transparenz. Unternehmen müssen ihre Datenschutzpraktiken klar und verständlich kommunizieren und Informationen über die Datenverarbeitung bereitstellen.
  • Beschwerdemechanismen: Privacy Shield 2.0 stärkt die Rechte der EU-Bürger, Beschwerden bei Datenschutzverstößen einzureichen. Es gibt klare Verfahren zur Untersuchung und Beilegung solcher Beschwerden.
  • Jährliche Überprüfungen: Im Unterschied zum vorherigen Privacy Shield-Abkommen, das alle vier Jahre überprüft wurde, unterliegt Privacy Shield 2.0 jährlichen Überprüfungen, um sicherzustellen, dass die Datenschutzanforderungen kontinuierlich erfüllt werden.

Diese Unterschiede machen Privacy Shield 2.0 zu einem robusteren Rahmenwerk für den internationalen Datentransfer und sollen sicherstellen, dass personenbezogene Daten angemessen geschützt werden.  

Was gibt es jetzt zu beachten

DPF-Zertifizierung prüfen

Auf der Website des Data Privacy Framework Programs kann man die Unternehmen einsehen, die sich für das Privacy Shield 2.0 zertifizieren haben lassen.

Außerdem ist es wichtig zu prüfen, ob die entsprechende Art der Datenübermittlung von der Zertifizierung abgedeckt ist.

Datenschutzerklärung & Cookie-Banner aktualisieren

Die DPF-Zertifizierung muss beim jeweiligen Anbieter in der Datenschutzerklärung angegeben sein. Erfreulich dabei ist, dass man die langen Hinweistexte bei DPF-zertifizierten Unternehmen nicht mehr benötigt.

Für die Hinweise im Cookie-Banner gilt dasselbe: Auch hier muss die DPF-Zertifizierung angegeben werden. Allerdings kann der übliche, lange Hinweis zum Einsatz von US-Tools entfernt werden – vorausgesetzt, es sind nur DPF-Zertifizierte Tools im Einsatz.

Kurzer Exkurs, da mir täglich falsch konfigurierte Cookie-Banner auffallen: Cookie Banner müssen klar informieren, benutzerfreundlich sein und funktionieren. Das heißt im Detail:

  • Transparenz und Information: Cookie Banner müssen den Nutzer über die Art der gesammelten Daten, den Zweck der Datenverarbeitung und die Möglichkeiten zur Ausübung von Rechten wie Widerspruchs- oder Widerrufsrecht informieren.
  • Benutzerfreundlichkeit: Cookie Banner müssen einfach verständlich sein und dem Nutzer die Möglichkeit geben, seine Einwilligung in die Datenverarbeitung einfach und unkompliziert zu erteilen oder zu widerrufen.
  • Technische Korrektheit: Cookie Banner müssen sicherstellen, dass die Entscheidung des Nutzers wirksam ist. Wenn der Nutzer nicht einwilligt, darf auch keine Verbindung hergestellt werden!

 Zurück zum Thema: Was gibt es noch zu beachten.

Einwilligung im Cookie-Banner abholen

Das Data Privacy Framework erübrigt die Einholung der Einwilligung der Besucher nicht. Weiterhin gilt, dass man sich für den Einsatz dieser Anbieter zuerst die Einwilligung holen muss!

War’s das jetzt? Zukunftsaussichten des Privacy Shield 2.0

Die Einführung von Privacy Shield 2.0 hat gemischte Reaktionen hervorgerufen. Zwei wichtige Aspekte dabei spielten die Akzeptanz und Kritik.

Akzeptanz an Privacy Shield 2.0

Einige Unternehmen und Datenschutzexperten begrüßen Privacy Shield 2.0 als einen Schritt in die richtige Richtung. Sie sehen die strengeren Überwachungs- und Durchsetzungsmechanismen als positiven Fortschritt, der den Datenschutz verbessert. Sie glauben, dass Privacy Shield 2.0 Unternehmen eine klare und rechtliche Grundlage für den internationalen Datentransfer bietet, was zur Stärkung des Vertrauens und der Datensicherheit beiträgt.

Zusätzlich schätzen einige europäische Unternehmen Privacy Shield 2.0 als notwendiges Instrument, um weiterhin Geschäfte mit US-Partnern zu tätigen. Es gibt die Hoffnung, dass dieses Abkommen den reibungslosen Datenfluss zwischen den beiden Kontinenten sicherstellt, was für viele Branchen von wichtiger Bedeutung ist.

Kritik an Privacy Shield 2.0

Trotz der positiven Aspekte gibt es bereits erhebliche Kritikpunkte an Privacy Shield 2.0:

  1. Nicht ausreichender Schutz: Datenschutzaktivisten und einige EU-Datenschutzbehörden argumentieren, dass Privacy Shield 2.0 nach wie vor nicht ausreichend ist, um die Datenschutzrechte der EU-Bürger zu schützen. Sie glauben, dass der Zugriff der US-Regierung auf Daten immer noch zu umfangreich ist und die Überwachung nicht ausreicht.
  2. Unsicherheiten wegen rechtlicher Herausforderungen: Einige befürchten, dass Privacy Shield 2.0 erneut rechtlichen Herausforderungen ausgesetzt sein könnte, ähnlich wie sein Vorgänger. Dies könnte zu Unsicherheiten für Unternehmen führen, die den Datentransfer in die USA benötigen.
  3. Mangelnde Langfristigkeit: Privacy Shield-Abkommen haben in der Vergangenheit eine begrenzte Lebensdauer gehabt, was zu Unsicherheiten über die Langfristigkeit der Regelungen führt. Dies könnte die Investitionsentscheidungen von Unternehmen beeinflussen.

Insgesamt bleibt die Akzeptanz von Privacy Shield 2.0 ein umstrittenes Thema, und seine Wirksamkeit wird sich erst im Laufe der Zeit zeigen. Unternehmen und Datenschutzexperten müssen die Entwicklungen in diesem Bereich genau verfolgen.

Fazit

Das Privacy Shield 2.0 ist ein wichtiger Schritt in die richtige Richtung, da für den Moment zumindest Klarheit herrscht, was Webseitenbetreiber beachten müssen. Dennoch ist ungewiss, ob die aktuelle Version auf Dauer ausreicht. 

Wichtig: Das Abkommen ändert nichts daran, dass sich weiterhin die Einwilligung der Tools, die Daten in die USA übermitteln, eingeholt werden muss!

Kommentare

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Loading...