Schlagwort: Privacy Shield

Facebook: Irisches Urteil zur Aussetzung des EU-U.S. Datentransfers

28. Mai 2021

Der Oberste Gerichtshof Irlands hat entschieden, dass die irische Datenschutzbehörde Data Protection Commission (DPC) das Untersuchungsverfahren gegen Facebook fortsetzen könne.

Bisherige Entwicklung

Zuvor entschied der Europäische Gerichtshof (EuGH) im letzten Jahr (wir berichteten), dass das europäische Datenschutzabkommen mit den Vereinigten Staaten, das sog. EU-US Privacy Shield, europarechtswidrig sei. Zulässig blieb nach Ansicht des Gerichts jedoch die Übermittlung von Daten in die USA auf Basis der Standardvertragsklauseln (SCC). Dies gelte jedoch nur, sofern die Unternehmen nicht den Überwachungsgesetzen wie FISA 702 unterstehen. Darüber hinaus seien teilweise auch zusätzliche Sicherungsmaßnahmen erforderlich, um einen angemessenen Schutz der personenbezogenen Daten garantieren zu können.

Entscheidung der DPC und des irischen High Courts

Der DPC unterliegt aufgrund des europäischen Hauptsitzes des Unternehmens in Irland die Aufsicht. Dort reagierte man auf das Urteil des EuGHs mit einer Untersuchung und vorläufigen Anordnung zum Stopp der Übermittlung personenbezogener Daten auf Basis von Standardvertragsklauseln. Im ersten Verfahren konnte sich Facebook zunächst erfolgreich gegen die Untersuchung und die damit verbundene Anordnung zur Wehr setzen.

Der irische High Court wies nun alle verfahrensrechtlichen Beschwerden von Facebook gegen eine vorläufige Entscheidung über den Datenverkehr ab, die das Unternehmen im August von der DPC erhalten hatte. Die Behauptungen von Facebook, dass die Datenschutzbehörde dem Unternehmen zu wenig Zeit für eine Reaktion gegeben habe oder einen Beschluss zu früh erlassen habe, wurde zurückgewiesen. Man weise jede Forderung von Facebook zurück, erklärte der Richter David Barniville.

Grundsätzlich zulässig bleibe jedoch nach Ansicht des Gerichts die Übermittlung von Daten in die USA für Unternehmen auf Basis der Standardvertragsklauseln. Vorausgesetzt die Unternehmen unterfallen nicht den oben erwähnten Massenüberwachungsgesetzen oder es werden zusätzliche Sicherungsmaßnahmen, wie bspw. die Verschlüsselung von Daten, gewährleistet.

Kläger Schrems zeigt sich zunächst zufrieden

Der österreichische Jurist Max Schrems, der die Klage gegen Facebook erhob und sich seit Jahren im Rechtsstreit mit Facebook befindet, äußerte sich wie folgt:

„Facebook hat auf allen Ebenen verloren. Das Verfahren hat das irische Verfahren am Ende nur wieder ein paar Monate blockiert. Nach acht Jahren ist die DPC nun verpflichtet, den EU-US-Datentransfer des Unternehmens zu stoppen, wahrscheinlich noch vor dem Sommer.“

Auch die DPC begrüßte die Gerichtsentscheidung. Man könne nun die Übermittlung personenbezogener Daten von Facebook-Nutzern aus der EU in die USA untersagen.

Ausblick

Die Beschlüsse der irischen Datenschutzbehörde müssten nun noch vom Europäischen Datenschutzausschuss (EDSA) genehmigt werden. Die dortige Einspruchsfrist beträgt vier Wochen. Anschließend müsste Facebook wohl die meisten Daten aus Europa lokal speichern. Nur so könnte ein Zugriff durch US-Sicherheitsbehörden kurzfristig verhindert werden.

So bleibt die Rechtsgrundlage für einen Datentransfer personenbezogener Daten in die Vereinigten Staaten weiterhin unklar und der Einsatz von US-Dienstleistern datenschutzrechtlich bedenklich. Es bleibt abzuwarten, welche Folgen die Entscheidung des irischen Gerichts nach sich ziehen wird.

Europäischer Datenschutzbeauftragter leitet nach dem “Schrems II-Urteil” Untersuchungen bei EU-Institutionen ein

27. Mai 2021

Der Europäische Datenschutzbeauftragte (EDSB) hat in einer Pressemitteilung erklärt, dass er zwei Untersuchungen im Hinblick auf das im vergangenen Jahr erlassene Schrems-II-Urteil eingeleitet hat. Eine zur Nutzung von Cloud-Diensten, die von Amazon Web Services (AWS) und Microsoft bereitgestellt und im Rahmen von sog. Cloud II-Verträgen von Institutionen, Einrichtungen und Agenturen der Europäischen Union genutzt werden, und eine zur Nutzung von Microsoft 365 durch die Europäische Kommission.

Hintergrund der Untersuchung ist, dass der EDSB im Oktober vegangenen Jahres die EU-Instiutionen dazu aufforderte, über ihre Übermittlung personenbezogener Daten an Drittländer Bericht zu erstatten. Das Ergebnis der Umfrage machte deutlich, dass auch EU-Institutionen die Tools und Dienste von internationalen Dienstleistern nutzen und damit personenbezogene Daten außerhalb der EU und insbesondere in die USA übertragen werden.

Der EDSB, Wojciech Wiewiórowski, sagte: “Nach dem Ergebnis der Berichterstattung durch die EU-Institutionen und -Einrichtungen haben wir bestimmte Arten von Verträgen ermittelt, die besondere Aufmerksamkeit erfordern, und aus diesem Grund haben wir beschlossen, diese beiden Untersuchungen einzuleiten. Mir ist bekannt, dass die „Cloud II-Verträge“ Anfang 2020 vor dem Urteil „Schrems II“ unterzeichnet wurden und dass sowohl Amazon als auch Microsoft neue Maßnahmen angekündigt haben, um sich dem Urteil anzupassen. Dennoch reichen diese angekündigten Maßnahmen möglicherweise nicht aus, um die vollständige Einhaltung des EU-Datenschutzrechts und damit die Notwendigkeit einer ordnungsgemäßen Untersuchung sicherzustellen.“

Nun will der EDSB sicherstellen, dass auch von EU-Institutionen die europäische Datenschutzgrundverordnung (DSGVO) eingehalten wird und EU-Institutionen in Bezug auf Privatssphäre und Datenschutz mit gutem Beispiel vorangehen.

Ziel der Untersuchungen ist es, die Einhaltung des Urteils bei den EU-Institutionen zu bewerten und die Empfehlungen bei der Nutzung von Produkten von US-Anbietern umzusetzen.

Die Tatsache, dass auch der EDSB Untersuchungen aufgenommen hat, zeigt einmal mehr, dass der Datentransfer in Drittländer und Sofortmaßnahmen dagegen dringend erforderlich sind. Gleichzeitig dürfte das Ergebnis dieser Untersuchungen auch wegweisend für einen weiteren Umgang mit den genannten Dienstleistern sein.

Microsoft zieht EU-Datengrenze und verspricht damit eine Speicherung und Verarbeitung von Daten ausschließlich in der EU

7. Mai 2021

Microsoft kündigte in einem Blogbeitrag vom 6. Mai 2021 an, ab Ende 2022 personenbezogene Daten europäischer Kunden nur noch innerhalb der EU zu verarbeiten und speichern. Dies gelte, so Microsoft, für alle zentralen Cloud-Dienste von Microsoft, d.h. Azure, Microsoft 365 und Dynamics 365. Microsoft verspricht mit seinem “EU Data Boundary for the Microsoft Cloud”, d.h. einer EU-Datengrenze für seine Cloud-Lösungen, zukünftig keine Daten seiner Kunden mehr aus der EU heraus transferieren zu müssen. Das Angebot richte sich an Kunden aus dem öffentlichen Sektor und Unternehmenskunden, so der Konzern.

Damit reagiert Microsoft erneut auf das vom Europäischen Gerichtshof (EuGH) im Juli letzten Jahres ergangene Schrems-II-Urteil, dass das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat. Nach Ansicht des EuGH haben die USA kein mit der EU vergleichbares Datenschutzniveau. Begründet wird dies insbesondere damit, dass US-Geheimdienste aufgrund des US Gesetzes “Cloud Act” einen umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben.

Geplant ist laut Microsoft in den kommenden Monaten in einen engen Austausch mit seinen Kunden aber auch den Aufsichtsbehörden zu gehen, um damit den Vorschriften zum Schutz der Daten gerecht zu werden. Ob dieses Vorhaben gelingen wird, bleibt abzuwarten. Unklar bleibt auch noch, ob dadurch die Unsicherheiten bei einem Datentransfer zwischen Europa und den USA beseitigt werden kann. Zunächst ist weiterhin der Microsoft-Konzern rechtlich für die Clouddaten verantwortlich. Dies könne laut dem österreichischen Datenschutzaktivist Max Schrems nur dadurch behoben werden, “wenn eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben, erreicht würde” – so Schrems gegenüber der Deutschen Presse-Agentur.

Microsoft verweist diesbezüglich auf seine Nutzer selbst. Diese könnten bereits jetzt durch die Verwendung von kundenverwalteten Schlüsseln, die Verschlüsselung ihrer Daten selbst konfigurieren und insbesondere kontrollieren und damit vor einem unzulässigen Zugriff durch staatliche Stellen schützen.

Die Aufsichtsbehörden haben sich zu dem Plan von Microsoft noch nicht geäußert. Vielmehr haben diese erst vor kurzem eine Task-Force eingerichtet, um den Risiken bei der Nutzung von Cloud-Diensten entgegenzuwirken.

Drittstaatenübermittlung: Risiken bei der Nutzung von US-Cloud Anbietern – Datenschutzbehörden richten Task Force ein

17. Februar 2021

Immer wieder verlagern europäische Firmen ihre Daten auf die Server von US Konzernen und das obwohl der Europäische Gerichtshof im Juli letzten Jahres in dem sogenannten Schrems-II-Urteil das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat.

Problematisch an diesem Datentransfer und einer Zusammenarbeit mit US-Cloud-Diensten ist insbesondere, dass US-Geheimdienste einen umfangreichen Zugriff auf die bei den amerikanischen Unternehmen gespeicherten Daten haben – und dass auch dann, wenn die Daten in Europa gespeichert werden.

Derzeit ist ein Datentransfer daher nur dann datenschutzrechtlich unbedenklich, solange die beteiligten Unternehmen alternative Lösungen zur Aufrechterhaltung eines angemessenen Datenschutzniveaus verwenden, wie zum Beispiel EU-Standardvertragsklauseln nebst zusätzlicher Garantien. Diese müssen jedoch – im Gegensatz zu einem Transferabkommen – für jeden Verarbeitungsvertrag separat ausgehandelt werden. Dies ist nicht nur aufwendig, sondern in der Praxis auch nur schwer umsetzbar, da in den meisten Fällen mit Amazon, Microsoft oder Google kein individueller Verarbeitungsvertrag geschlossen wird. Aus diesem Grund wünschen sich sowohl Datenschützer als auch die Industrie ein neues Abkommen.

Ein solches ist bislang noch nicht in Sicht. Daher setzen zahlreiche deutsche Unternehmen weiter auf die Lösungen von US-Cloud-Anbietern oder steigen gerade erst auf diese um, statt sich von ihnen zu lösen.

Die deutschen Aufsichtsbehörden wollen nun härter durchgreifen und die Einhaltung der Bestimmungen der Datenschutzgrundverordnung stärker kontrollieren.

Wie das Handelsblatt berichtete, haben die Aufsichtsbehörden zur Cloud-Problematik eine spezielle Task Force eingerichtet. Dabei wollen sie stichprobenartig bundesweit Unternehmen auswählen, bei denen die Vermutung besteht, dass sie Dienstleister aus Drittstaaten verwenden. Die Task Force soll mit deutschen Unternehmen den Einsatz von US-Cloud-Diensten besprechen und gegebenenfalls Alternativen vorschlagen wie z.B. einen Wechsel des Anbieters oder eine Aussetzung der Datenübermittlung. Aber auch die Verhängung von Bußgeldern ist laut den Datenschutzbehörden dann angezeigt, wenn keine zufriedenstellende Lösung gefunden werden kann. Diese können bis zu 20 Mio. Euro betragen oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes.

Es bleibt daher abzuwarten, wie die Datenschutzbehörden im Rahmen ihrer Task Force vorgehen werden, welche Bußgelder verhängt werden und ab wann eine europäische Lösung für die Frage der Drittsaatenübermittlung gefunden wird.

Eidgenössischer Datenschutz- und Öffentlichkeitbeauftragte: “Privacy Shield CH-USA bietet kein adäquates Datenschutzniveau”

9. September 2020

Der Eidgenössische Datenschutz- und Öffentlichkeitbeauftragte (EDÖB) bewertet vor dem Hintergrund seiner jährlichen Überprüfungen des Swiss-US Privacy Shields Regimes sowie der jüngsten Rechtsprechung des Europäischen Gerichtshofs (EuGH) zum Datenschutz die Datenschutzkonformität des Privacy Shield Regimes neu.

Der EDÖB ist der Datenschutz- und Informationsfreiheitsbeauftragte für die Schweiz mit Amtssitz in Bern. Da die Schweiz nicht Mitglied der EU ist, ist das Urteil des EuGH für sie rechtlich nicht verbindlich.

In seiner Stellungnahme vom 8.9.2020 kommt der EDÖB zum Ergebnis, dass das Privacy Shield Regime trotz der Gewährung von besonderen Schutzrechten für Betroffene in der Schweiz kein adäquates Schutzniveau für Datenübermittlungen von der Schweiz an die USA nach dem Bundesgesetz über den Datenschutz (DSG) bietet.

Der EDÖB begründet dies mit der fehlenden Gewährleistung von Rechten, die betroffenen Personen in der Schweiz einen vergleichbaren Schutz wie Art. 13 Abs. 2 und 29 ff. Bundesverfassung der Schweizerischen Eidgenossenschaft (BV), Art. 8 EMRK sowie Art. 4 DSG garantieren würden.

In der Konsequenz hat der EDÖB die USA von der Staatenliste mit “angemessenen Datenschutz unter bestimmten Bedingungen” genommen. Mangels Zuständigkeit hat die Einschätzung des EDÖB keinen Einfluss auf das Weiterbestehen des Regimes des Privacy Shield.

Diese Einschätzung des EDÖB steht unter dem Vorbehalt einer abweichenden Rechtsprechung schweizerischer Gerichte.

Stellungnahmen deutscher Aufsichtsbehörden zum EuGH-Urteil vom 16.07.2020

22. Juli 2020

Die ersten deutschen Aufsichtsbehörden haben inzwischen ihre Stellungnahmen zum o. g. Urteil veröffentlicht, in dem das EU-U.S. Privacy Shield für unwirksam erklärt wurde.

Mit dem Urteil hat das Gericht auch Unsicherheit in Bezug auf den weiteren Umgang mit Datenübermittlungen, insbesondere in die USA hervorgerufen, die auf Grundlage der EU-Standardvertragsklauseln legitmiert werden, da auch auch die Standardvertragsklauseln auf den Prüfstand gestellt wurden. Nach dem EuGH obliegt es dem jeweiligen Datenexporteur, jeweils für den Einzelfall zu prüfen, ob diese unter Berücksichtigung des Rechts des Drittlands einen angemessenen Schutz gewährleisten (siehe RN 132 d. Urteils v. 16.07.2020, C-311/18).

Was sagen nun die deutschen Aufsichtsbehörden dazu? Bisher haben sich immerhin vier von ihnen geäußert. Nachfolgend fassen wir die jeweiligen Kernaussagen kurz zusammen:

Berlin:

Er (der EuGH, Anm. d. Red.) betont in diesem Zusammenhang jedoch, dass sowohl die europäischen Datenexporteure als auch die Datenimporteure in Drittländern verpflichtet sind, vor der ersten Datenübermittlung zu prüfen, ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen (Rn. 134 f., 142 des Urteils). Bestehen solche Zugriffsrechte, können auch die Standardvertragsklauseln den Datenexport nicht rechtfertigen. Bereits ins Drittland übermittelte Daten müssen zurückgeholt werden. (…) Verantwortliche, die –insbesondere bei der Nutzung von Cloud-Diensten –personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln“

Hamburg:

Vor diesem Hintergrund ist die Entscheidung des EuGH, die Standardvertragsklauseln (SCC) als angemessenes Instrument beizubehalten, nicht konsequent. Wenn die Ungültigkeit des Privacy Shield primär mit den ausufernden Geheimdienstaktivitäten in den USA begründet wird, muss dasselbe auch für die Standardvertragsklauseln gelten. Vertragliche Vereinbarungen zwischen Datenexporteur und -importeur sind gleichermaßen ungeeignet, um Betroffene vor dem staatlichen Zugriff zu bewahren. Zumindest hinsichtlich des Abschlusses der SCC mit dem streitgegenständlichen US-Unternehmen hätte der EuGH zu demselben Ergebnis kommen müssen. (…) Nach der heutigen EuGH-Entscheidung befindet sich der Ball wieder einmal im Spielfeld der Aufsichtsbehörden, die nun vor der Entscheidung stehen werden, insgesamt die Datenübermittlung über Standardvertragsklauseln kritisch zu hinterfragen

Rheinland-Pfalz:

Der EuGH hat klargestellt, dass sich Unternehmen mit der Verwendung der Standardvertragsklauseln nicht von ihren Prüfpflichten freikaufen können. (…) Der Ball liegt nun im Feld der Verantwortlichen. Sie kommen nicht umhin, sich mit den nationalen Gesetzen des Drittlandes, in welche sie Daten übermitteln möchten, intensiv auseinanderzusetzen. Unterliegen die Datenempfänger gesetzlichen Regeln ihres Heimatlandes, die gegen das europäische Datenschutzrecht verstoßen, können sie die vertraglichen Regelungen der Standardvertragsklauseln ggf. nicht einhalten. In diesem Fall muss der Verantwortliche in der EU die Datenübermittlung dorthin aussetzen, da er sonst einen Datenschutzverstoß begeht.“

Thüringen:

Wenn  der  EuGH  nun  hervorhebt,  dass  die  Schutzmechanismen  der Standardvertragsklauseln   und   ihre   Einhaltung   vom   Datenexporteur   und dem Datenempfänger  vor  der  Übermittlung  geprüft  werden müssen, dann  weiß  ich  nicht, wie  im  Fall  der  Datenübermittlung  in  die  USA  hier  ein  EU-datenschutzkonformes Prüfergebnis zu Stande kommen soll.“

Wir beobachten weitere Äußerungen selbstverständlich äußerst aufmerksam und informieren Sie zeitnah über aktuelle Entwicklungen.

Datenschutz in den USA: Regierung plant ein neues Gesetz

9. August 2018

Die momentane Situation bei einem Datentransfer von Europa in die USA ist so klar wie unbefriedigend: Er kann auf das sog. “Privacy Shield” gestützt werden, dem Nachfolgeabkommen, das die Europäische Kommission mit den USA vereinbart hat, nachdem das frühere “Safe Harbour” – Abkommen Ende 2016 vom EuGH für unwirksam erklärt worden war.

Seit seinem Inkrafttreten bestehen jedoch ernsthafte datenschutzrechtliche Bedenken, ob eine auf diesem Privacy Shield allein basierende Übermittlung personenbezogener Daten zulässig ist. Erst zuletzt, am 26. Juni, hatte die Mehrheit des EU-Parlaments für eine Nachbesserung oder, wenn diese nicht umgehend erfolgt, für ein Aussetzen des Privacy Shields ab 1. September gestimmt.

Vor diesem Hintergrund treffen die Nachrichten der Washington Post, die US-Regierung arbeite an einem nationalen Datenschutzgesetz, das für ein national einheitliches Datenschutzniveau sorgen soll, auf fruchtbaren Boden. Einen Anteil an dieser Initiative wird wohl auch die EU-Datenschutzgrundverordnung mit ihren weitgreifenden, auch den US-Markt nicht unberührt lassenden Regelungen, haben. Einige gewichtige US-Unternehmen hätten dieser Tage bereits an die Regierung in Washington appelliert, eine eigene Haltung zum Datenschutz zu formulieren, die weniger aggressiv sei, als jene aus Europa, so heißt es in dem Bericht. Die weitere Entwicklung dieses Vorhabens der US-Regierung wird daher mit Spannung verfolgt.

EU wird japanisches Datenschutzsystem anerkennen

27. Juli 2018

Im Rahmen vom neuen Freihandelsabkommen zwischen der EU und Japan (Japan-EU Free Trade Agreement, JAFTA) wird die EU das japanische Datenschutzsystem, durch einen Angemessenheitsbeschluss der EU-Kommission, als gleichwertig anerkennen. Somit wird Japan zu einem sicheren Drittland. Die geplante Adäquanzentscheidung geht weiter als der “umstrittene Privacy-Shield” zwischen der EU und der USA. Erfasst wird nämlich auch der Bereich der Strafverfolgung, neben Messwerten und Informationen, die zu gewerblichen Zwecken übertragen werden sollen.

Die Entscheidung ist jedoch noch an zusätzliche Bedingungen geknüpft. So muss Japan zusätzliche Garantien zum Schutz der personenbezogenen Daten von Bürgern in der EU einführen. Auch die Betroffenenrechte sollen gestärkt werden. Weiterhin soll ein Verfahren festgesetzt werden,  welches Beschwerden über den Zugriff nationaler Behörden von Europäern bearbeiten, untersuchen und aufklären werde.

Den Datenschutzbeschluss will die Brüsseler Regierungseinrichtung im Herbst formell annehmen. Im Voraus muss das Kabinett ihn noch genehmigen und der neue Europäische Datenschutzausschuss Stellung nehmen.

Ausschuss des EU Parlaments kritisiert Privacy Shield

14. Juni 2018

Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments hat Anfang der Woche einen Resolutionsvorschlag mit knapper Mehrheit verabschiedet, in dem die Vereinbarkeit des Privacy Shields mit europäischen Datenschutzstandards stark kritisiert wird (wir berichteten). Damit appelliert der Ausschuss an die EU Kommission den Druck auf die US-Regierung zu erhöhen.

Der Privacy Shield ist ein Übereinkommen bezüglich datenschutzrechtlicher Anforderungen im Rahmen von Datentransfer zwischen den USA und der EU. Seit 2016 ermöglicht diese Übereinkunft offiziell die datenschutzkonforme Übermittlung von Daten aus EU-Ländern in die USA. In dem Resolutionvorschlag wird die EU-Kommission dazu aufgefordert, darauf zu achten, dass US-Behörden die bereits bestehenden Bedingungen des Privacy Shields erfüllen und dass die neuen Datenschutzbestimmungen der DSGVO eingehalten werden. Ein Kritikpunkt ist, dass immer noch keine Ombudsperson seitens der USA benannt wurde, an die sich EU-Bürger im Falle von Beschwerden wenden können. Des Weiteren wird der in den USA im März verabschiedete „Cloud Act“ kritisiert, der den Zugriff von US-Behörden auf im Ausland gespeicherte Daten über bilaterale Abkommen regeln soll.

Der Ausschuss schlägt dem EU Parlament vor, die EU Kommission dazu aufzufordern den Privacy Shield zu überarbeiten und andernfalls die Übereinkunft ab dem 1. September auszusetzen.  Das EU Pralament wird voraussichtlich im Juli darüber beraten. Die finale Resolution ist für die Kommission jedoch nicht verbindlich.

Selbstzertifizierung für US-Unternehmen möglich

1. August 2016

Ab heute, den 01.August 2016 um 9 Uhr E.S.T., können sich Unternehmen mit Sitz in den USA ein Datenschutz-Zertifikat ausstellen. Die Ausstellung des Zertifikats begründet die Teilnahme des Unternehmens an dem Privacy Shield Programm mit der Folge, dass der Datenaustausch zwischen US-Unternehmen und ihrer europäischen Vertragspartner rechtlich legitimiert ist. Die Selbstzertifizierung ist für US-Unternehmen freiwillig. Sobald ein Unternehmen sich ein Selbstzertifikat ausstellt und an dem Privacy-Shield Programm teilnimmt, besteht die Verpflichtung den im Privacy Shield genannten Prinzipien zu folgen. Die den teilnehmenden Unternehmen obliegenden Verpflichtungen sind von den zuständigen US-Behörden gerichtlich durchsetzbar. Die Selbstzertifizierung ist ein Jahr gültig und kann erneut ausgestellt werden.

Durch die Teilnahme von US-Unternehmen an dem Privacy Shield entsteht ein höheres Datenschutzniveau, da EU-Bürger unter anderem ihre Rechte auch in den USA durchsetzen können. Auch die Zugriffsmöglichkeiten von US-Behörden auf personenbezogene Daten von Europäern sind eingeschränkt. Dies ist war nach dem bis Oktober 2015 geltenden Safe-Habor-Abkommen nicht möglich gewesen.

1 2