Ist ein grosser Teil der transatlantischen Datenströme zwischen der EU (und allenfalls der Schweiz) und den USA bald (wieder) illegal?
Das EU Parlament hat die EU Kommission aufgefordert, das EU-US Privacy Shield zu suspendieren, wenn die USA nicht bis am 1. September 2018 seinen Pflichten daraus vollständig nachkommt. Die EU Kommission ist nicht an die Aufforderung des Parlaments gebunden.
Angestossen wurde das Thema durch den LIBE Ausschuss des EU Parlaments (Committee on Civil Liberties, Justice and Home Affairs). Dieser hat vor dem Hintergrund der Facebook-Cambridge Analytica Datenschutzverletzungen die Effektivität des Privacy Shields in Frage gestellt, zumal beide beteiligten Unternehmen nach dem Privacy Shield zertifiziert waren. Das EU Parlament störte sich insbesondere daran, dass die US Behörden nach den Enthüllungen untätig geblieben seien und die Firmen nicht von der Privacy Shield Liste entfernten. Weiter zeigte sich das EU Parlament besorgt über den neuen US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) und die darin vorgesehen weitgehenden internationalen Zugriffsrechte von US Behörden auf Personendaten.
Sollte das EU-US Privacy Shield suspendiert werden, dürfte ihm vermutlich auch das Schweizer Pendant (Swiss-US Privacy Shield) bald folgen. Das war bereits mit dem Vorgänger im Oktober 2015 der Fall, als das EU-US Safe Harbor Abkommen für ungültig erklärte wurde. Unternehmen die Personendaten über den Atlantik hinweg teilen, z.B. im Rahmen eines Outsourcings an eine US Dienstleisterin oder gruppenintern an eine US-Muttergesellschaft, müssen dann wieder andere Schutzmassnahmen implementieren, um den Transfer in das „unsichere“ Drittland USA legal zu ermöglichen, wie z.B. Data Transfer Agreements oder Binding Corporate Rules.