Juli 20, 2020

EU-US Privacy Shield von EuGH gekippt

Reading time about 4 min

So ganz war eigentlich nie geklärt, wie die Datenverarbeitung zwischen der EU und den USA aussehen soll. Jedoch hat die EU genaue Vorstellungen davon und die USA haben immer wieder Schwierigkeiten bei der Umsetzung. Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) hatte stets gravierende Anmerkungen und die USA dadurch mit Nachbesserungen zu kämpfen. Nun hat der europäische Gerichtshof das Privacy Shield gekippt und für ungültig erklärt.

Wie alles begann: Die “Safe Harbor”-Grundsätze

EU-US_Privacy_Shield_Newsletter2Go

Die “Safe Harbor”-Grundsätze regelten den Austausch von persönlichen Daten zwischen den USA und der EU. Das Abkommen trat im Jahr 2000 in Kraft. In dieser Regelung wurde festgehalten, was mit Ihren Daten bei Unternehmen wie Facebook oder Mailchimp geschieht.

Nachdem festgestellt wurde, dass diese Vereinbarung nur für Unternehmen und nicht für die amerikanischen Behörden gilt, wurde sie außer Kraft gesetzt. Daten, die durch amerikanische Unternehmen verarbeitet werden, sind nicht gemäß dem europäischen Recht geschützt. Seit Oktober 2015 ist das “Safe Harbor”-Abkommen nicht mehr gültig. Aber es gibt einen Nachfolger: Das EU-US Privacy Shield.

Das EU-US Privacy Shield

Das EU-US Privacy Shield beinhaltete viele Verbesserungen gegenüber dem “Safe Harbor”-Abkommen. Das Privacy Shield ist am 1. August 2017 in Kraft getreten und wurde im Juli 2020 aufgrund einer Klage eines Aktivisten wieder gekippt. 

Zu Beginn war das EU-US Privacy Shield ein voller Erfolg für beide Seiten. Etwas kniffliger wurde die Sache, als Ombudspersonen zur Kontrolle abgestellt werden mussten – sowohl in der EU als auch in den USA. Diese Kontrolle der Unternehmen wird durch das US-Handelsministerium vorgenommen. Neu in diesem Abkommen war, dass US-Unternehmen Zertifikate beantragen können, die Ihnen die Verarbeitung von personenbezogenen Daten aus der EU erlauben.

Dazu hat das US-Handelsministerium eine offizielle Liste herausgegeben, die online einsehbar ist: https://www.privacyshield.gov/welcome . Diese Liste wird stetig aktualisiert.

In den letzten Jahren gab es viel Kritik am Privacy Shield. Die Zweifel, dass US-Unternehmen die EU-Anforderungen an den Datenschutz nicht einhalten können, waren stets präsent. Das Abkommen stand ständig auf der Kippe.

Im Juli 2020 wurde das Privacy Shield dann gekippt. Der EuGH (Europäische Gerichtshof) sieht in Bezug auf das Niveau des Datenschutzes in den USA große Probleme. Datentransfers seien zwar generell zulässig, als sicher eingestuft werden sie allerdings nicht.

Kurz zum Background: Zu diesem Urteil kam es aufgrund einer Klage des Aktivisten Max Schrems. Er beanstandete die Datenverarbeitung von Facebook Irland und den Transfer personenbezogener Daten in die USA. Die Begründung für die Klage: Facebook USA ist verpflichtet, diese Daten dem FBI und der NSA zugänglich zu machen. Betroffene haben keine Chance, gegen diese Regelung vorzugehen. Ihre Daten würden verarbeitet.

US-Unternehmen können Datenschutz nicht gewährleisten

Die datenschutzrechtlichen Bedenken der europäischen Datenschutzbehörden sind also nicht aus der Welt. Die US-Behörden haben jedoch weiterhin Zugriff auf die Daten, die aus der EU übermittelt werden. Bei der jährlichen Überprüfung des Privacy Shields war es vor allem dieser Punkt, der den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) noch massiv stört.

Der Ausschuss forderte eine Nachbesserung der Mängel auf Seiten der USA bis zum 01. September 2018. Mit der Klage des Aktivisten wurden nun die Datenschutzbedenken ausformuliert. Das EU-Privacy-Shield wurde von Luxemburger Richtern im Juli 2020 gekippt. Denn durch die Zugriffsrechte der US-Behörden sind die Anforderungen, die der EuGH an den Datenschutz stellt, nicht gewährleistet. 

Was bedeutet das für den Newsletter-Versand?

Das Privacy Shield steht also auf der Kippe und es kann momentan keine Garantie für den Schutz Ihrer Daten gegeben werden, wenn diese an Unternehmen in den USA übermittelt werden. Es kann Ihnen als Absender der Newsletter ein Bußgeld drohen, sollten die Daten Ihrer Empfänger unter mangelhaften Datenschutzbedingungen an amerikanische Unternehmen weitergegeben werden.

Auf Nummer sicher: E-Mail Marketing nach EU-Recht

Seit der Datenschutz-Grundverordnung ist E-Mail Marketing auf EU-Ebene sicherer denn je. Nutzen Sie einen Dienstleister, der DSGVO-konform ist, so halten Sie sich automatisch an das EU-Recht. Eine sichere Aufbewahrung der Daten und ein rechtssicherer Newsletter-Versand sind gewährleistet. Wichtig sind dabei vor allem die folgenden Punkte zur Adressgenerierung:

  • Der Interessent muss dem Erhalt des Newsletters eindeutig zustimmen. Dies geschieht mithilfe des Double-Opt-In-Verfahrens.
  • Der Zweck der Datenverarbeitung muss stets angegeben werden.
  • Ihre Datenschutzerklärung muss immer abrufbar sein. Am besten Sie verlinken sie direkt im Anmeldeformular.
  • Weisen Sie darauf hin, dass der Empfänger sich jederzeit vom Newsletter abmelden kann. Am einfachsten wäre es, einen Abmeldelink in jedem Newsletter mitzusenden.
  • Zu guter Letzt achten Sie darauf, dass Ihr Impressum immer verfügbar und vollständig ist.

Mit Brevo sind sie auf der sicheren Seite. Die Software erfüllt alle datenschutzrechtlichen Vorgaben und ist DSGVO-konform. Dies wurde vom TÜV Rheinland offiziell bestätigt.

Fazit: A Never Ending Story?

Das Privacy Shield ist gekippt, der Datenschutz in den USA steht weiter in Frage. Wie es nun weitergeht, ob eine Einigung gefunden werden kann und ob es die USA schaffen, auf das Datenschutz-Niveau der EU anzuziehen, bleibt derzeit weiterhin unklar. Auf der sicheren Seite ist, wer seine Daten auf europäischer Seite lässt. Für Marketer heißt das: Lieber Brevo nutzen. Die Server stehen in der EU, DSGVO-Konformität ist gewährleistet und Zertifizierungen vorhanden. Na?! Überzeugt?

Ready to grow with Brevo?

Get the tools you need to reach your customers and grow your business.

Sign up free