Der EU-US-Datenschutzschild (2016-2020) war ein rechtliches Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika, das die transatlantische Datenübertragung und -speicherung regeln sollte.
Ziel des Privacy Shield war es, EU-Bürger vor dem Missbrauch ihrer Daten durch US-Einrichtungen wie Werbetreibende, Geheimdienste und andere Organisationen zu schützen.
Dieses Abkommen war der Nachfolger der internationalen Datenschutzgrundsätze von Safe Harbor, die ursprünglich denselben Zweck verfolgten, aber 2015 für ungültig erklärt wurden, weil sie sich nicht an die damals geltenden EU-Gesetze hielten (siehe Schrems I). Nach mehreren Anpassungen und einem Hin- und Herschieben zwischen der EU- und der US-Kommission trat das Privacy Shield am 12. Juli 2016 in Kraft.
Wenn ein Nutzer aus der EU ein Konto auf einer Website anlegt, gibt er personenbezogene Daten wie seinen Namen, sein Geburtsdatum, seine E-Mail-Adresse und andere Informationen weiter. Auch ein Zugriff ohne Erstellung eines Kontos konnte zur Offenlegung privater Daten wie IP, Standort, Browserverlauf usw. führen. Das Privacy Shield sollte verhindern, dass die Daten europäischer Nutzer, die in den USA verarbeitet werden, ohne angemessene Sicherheitsmaßnahmen gespeichert, verkauft, gestohlen oder ohne Zustimmung des Nutzers verwendet werden. Mit anderen Worten: US-Unternehmen mussten diese Daten nach EU-Standards verarbeiten, die restriktiver sind als die in den USA.
Nach dem Urteil in der Rechtssache Schrems II, das im Juli 2020 rechtskräftig wurde, wurde das EU-US-Privacy Shield aus ähnlichen Gründen wie zuvor die Safe-Harbor-Regelungen für unzureichend im Sinne der DSGVO erklärt. Das Privacy Shield wurde mit der Begründung für ungültig erklärt, dass es keine ausreichenden Mittel zum Schutz vor der Überwachung durch die USA gibt und der Zugriff auf Daten viel weiter gefasst ist als nötig.
Viele Unternehmen aus den Vereinigten Staaten sind derzeit von der Ungültigerklärung des Privacy Shield betroffen, darunter Giganten wie Google und Facebook, die zuvor Daten zwischen der EU und den USA übertragen durften. Die gesamte Liste der Unternehmen finden Sie hier: https://www.privacyshield.gov/list.
Im Folgenden erfahren Sie, was Sie als Website-Betreiber über diese Änderungen wissen müssen: Folgen der Ungültigkeitserklärung des Privacy Shield.
Beachten Sie, dass es für jede Region der Welt unterschiedliche Datenschutzrichtlinien gibt und sich dieser Artikel ausschließlich auf das Abkommen zwischen den Vereinigten Staaten und der Europäischen Union bezieht.