News

Fast 30 Jahre Herausforderungen mit US-Datenschutz

Kategorie

Cloud

Lesezeit

5 minutes

Solution

European Cloud

Aufgrund der derzeitigen Situation, insbesondere im Hinblick auf die Überwachung durch US-Behörden, haben viele Unternehmen Schwierigkeiten, die Anforderungen des Schrems II-Urteils zu erfüllen und personenbezogene Daten in die USA zu übertragen. Die Schwierigkeiten bei der Übertragung personenbezogener Daten in die USA liegen vor allem darin, dass es in den USA Gesetze und Praktiken gibt, die den Datenschutz nicht in gleicher Weise gewährleisten wie in der EU. Insbesondere die US-amerikanischen Geheimdienste haben weitreichende Befugnisse zur Überwachung von Daten und Kommunikation, die nicht mit den Datenschutzregeln der EU vereinbar sind.

Die fast 30 Jahre seit der Veröffentlichung der ersten EU-Datenschutzrichtlinie (95/46/EG) im Jahr 1995 sind charakterisiert von Herausforderungen im Bereich Datentransfers in die USA. Bald sind 3 Jahre vergangen, seitdem der EuGH das zweite Abkommen zum Transfer personenbezogener Daten von der EU in die USA wegen eklatanter Mängel aufhob. Bald ist ein Jahr vergangen, seitdem sich die EU und die USA “grundsätzlich” über ein neues Abkommen einigten. Es ist unklar, wann das Abkommen in Kraft tritt. Im Zentrum aller Entwicklungen steht eine seit 1995 weitgehend unveränderte Frage: Erfüllt der Schutz personenbezogener Daten in den USA die hohen Anforderungen der EU?

Eine Chronologie der wichtigsten Ereignisse in Bezug auf die Verarbeitung personenbezogener Daten aus der EU in den USA:


24. Oktober 1995:

Die EU verabschiedet die Datenschutzrichtlinie 95/46/EG, die grundlegende Regeln für den Umgang mit personenbezogenen Daten enthält. Datentransfers in Drittländer sind nur erlaubt, wenn dabei ein angemessener Schutz der Daten gewährleistet ist.

Quelle: EUR-Lex https://eur-lex.europa.eu/legal-content/de/ALL/?uri=CELEX:31995L0046


26. Juli 2000:

Die Safe Harbor-Regelung wird von der Europäischen Kommission eingeführt, um es Unternehmen zu ermöglichen, personenbezogene Daten von EU-Bürgern in die USA zu übertragen, solange die US-Unternehmen bestimmte Datenschutzstandards einhalten.

Quelle: EUR-Lex https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32000D0520


9. Juni 2013:

Der ehemalige US-Geheimdienstmitarbeiter Edward Snowden veröffentlicht Dokumente, die zeigen, dass die US-Regierung massenhaft Daten von US-amerikanischen und ausländischen Bürgern gesammelt hat, einschließlich der Überwachung von EU-Bürgern und Unternehmen. Quelle: The Guardian https://www.theguardian.com/world/2013/jun/09/edward-snowden-nsa-whistleblower-surveillance


6. Oktober 2015:

Der Europäische Gerichtshof (EuGH) erklärt die Safe Harbor-Regelung in einem Urteil für ungültig, da sie keinen angemessenen Schutz für personenbezogene Daten bietet.

Quelle: Europäischer Gerichtshof https://eur-lex.europa.eu/legal-content/de/ALL/?uri=CELEX%3A62014CJ0362


12. Juli 2016:

Das EU-US-Privacy-Shield-Abkommen wird in Kraft gesetzt und bietet Unternehmen einen Mechanismus, um personenbezogene Daten von EU-Bürgern in die USA zu übertragen, solange die US-Unternehmen bestimmte Datenschutzstandards einhalten.

Quelle: Europäische Kommission https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/eu-us-data-transfers_en


25. Mai 2028:

Das GDPR (General Data Protection Regulation), auch bekannt als Datenschutz-Grundverordnung, tritt in Kraft. Es handelt sich um eine Datenschutzverordnung der Europäischen Union, die darauf abzielt, den Schutz personenbezogener Daten zu stärken und einheitliche Datenschutzstandards in allen EU-Mitgliedstaaten festzulegen. Das GDPR ersetzt die vorherige Datenschutzrichtlinie der EU von 1995 und bringt einige wichtige Änderungen und Erweiterungen mit sich, um den Datenschutz an die heutige digitale Landschaft anzupassen.


16. Juli 2020:

Der EuGH erklärt das EU-US-Privacy-Shield-Abkommen in einem Urteil für ungültig, da es keinen angemessenen Schutz für personenbezogene Daten bietet. Zusätzlich erschwert und beschränkt der EuGH die Nutzung von Standardvertragsklauseln.

Quelle: Europäischer Gerichtshof https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf.

Nähere Informationen zu diesem Thema finden Sie in unserem Whitepaper CLOUD Act.


9. September 2020:

Die irische Datenschutzbehörde (DPC) legt eine vorläufige Anordnung gegen Facebook Ireland Limited und Facebook Inc. fest und fordert eine Aussetzung der Übertragung personenbezogener Daten von der EU in die USA auf der Grundlage von Standardvertragsklauseln.

Quelle: TechCrunch https://techcrunch.com/2020/09/09/facebook-told-it-may-have-to-suspend-eu-data-transfers-after-schrems-ii-ruling/


14. Mai 2021:

Facebook verliert das Verfahren vor dem irischen High Court, indem Facebook sich gegen die vorläufige Anordnung zur Aussetzung der Datentransfers wehrte.

Quelle: Irish High Court: https://www.dataprotection.ie/sites/default/files/uploads/2021-08/Facebook%20v.%20DPC%20Judgment%2014.5.21.pdf https://techcrunch.com/2021/05/14/facebook-loses-last-ditch-attempt-to-derail-dpc-decision-on-its-eu-us-data-flows/


4. Juni 2021:

Die Europäische Kommission veröffentlicht neue Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Länder außerhalb der EU. Die Klauseln enthalten strengere Anforderungen an Unternehmen, um sicherzustellen, dass das Datenschutzniveau im Zielland angemessen ist. Die Nutzung der Klauseln allein reicht regelmäßig nicht aus. Es müssen zusätzliche technisch-organisatorische Maßnahmen genutzt werden, um die Datenübertragungen abzusichern.

Quelle: Europäische Kommission https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en


25. März 2022:

Die Europäische Kommission und die Vereinigten Staaten geben bekannt, dass sie sich grundsätzlich auf einen neuen Transatlantischen Datenschutzrahmen geeinigt haben.

Quelle: Europäische Kommission, https://ec.europa.eu/commission/presscorner/detail/en/IP_22_2087


13. Dezember 2022:

Die Europäische Kommission leitet das Verfahren zur Annahme eines Angemessenheitsbeschlusses für den Datenschutzrahmen EU-USA ein und veröffentlicht den Entwurf einer Angemessenheitsentscheidung zum “neuen Transatlantischen Datenschutzrahmen” vom 25. März 2022.

Quelle: Europäische Kommission, https://ec.europa.eu/commission/presscorner/detail/de/ip_22_7631


27. Dezember 2022:

Die Übergangsfrist für die Umstellung auf die neuen Standardvertragsklauseln läuft ab.

Quelle: Noerr https://www.noerr.com/de/newsroom/news/internationaler-datentransfer-ubergangsfrist-fur-alte-standardvertragsklauseln-endet-am-27122022---dringender-revisionsbedarf-fur-unternehmen


14. Februar 2023:

Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments stellt im Entwurf eines Entschließungsantrags fest, dass mit dem vorgeschlagenen “Datenschutzrahmen zwischen der EU und den USA keine tatsächliche Gleichwertigkeit im Hinblick auf das Schutzniveau geschaffen wird” und “fordert die Kommission nachdrücklich auf, die Feststellung der Angemessenheit nicht zu bestätigen”.

Quelle: Europäisches Parlament: https://www.europarl.europa.eu/doceo/document/LIBE-RD-740749_DE.pdf


28. Februar 2023:

Der Europäischer Datenschutzausschuss (EDPB) erinnert in einer Stellungnahme zum Entwurf eines dritten Datenschutzabkommens zwischen der EU und den USA unter anderem daran, dass der EuGH einen “im Wesentlichen gleichwertigen Schutz” verlangt und daher noch Anpassungsbedarf besteht.

https://edpb.europa.eu/system/files/2023-02/edpb_opinion52023_eu-us_dpf_en.pdf