Der EU-US Privacy Shield (auch EU-US-Datenschutzschild) ist eine informelle Absprache auf dem Gebiet des Datenschutzrechts, die 2015 bis 2016 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika ausgehandelt wurde. Sie besteht aus einer Reihe von Zusicherungen der US-amerikanischen Bundesregierung und einem Beschluss der EU-Kommission. Die Kommission hatte am 12. Juli 2016 beschlossen, dass die Vorgaben des Datenschutzschilds dem Datenschutzniveau der Europäischen Union entsprechen, seitdem kann das Übereinkommen angewendet werden.
Die Absprache regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Sie war notwendig geworden, nachdem der Europäische Gerichtshof im Oktober 2015 die bis dahin angewendete Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärt hatte.
Durch die DSGVO ist das Übertragen von Daten zu internationalen Organisationen oder Drittstaaten nur unter Einhaltung von Auflagen möglich. (DSGVO Artikel 44-50).
Um Daten übermitteln zu können, muss der Empfänger
- in der EU oder im EWR sein,
- sich in einem Land befinden, für das ein EU-Beschluss ein gleichwertiges Datenschutzniveau bescheinigt,
- verbindliche interne Datenschutzvorschriften gemäß Artikel 47 verwenden,
- von der EU genehmigte Standarddatenschutzklauseln verwenden (Artikel 93 Absatz 2),
- von der EU genehmigte Verhaltensregeln gemäß Artikel 40 und geeignete Garantien verwenden und
- sich einem von der EU genehmigten Zertifizierungsmechanismus gemäß Artikel 42 unterworfen haben.
Per November 2018 stehen die Standarddatenschutzklauseln, Zertifizierungen und Verhaltensregeln noch immer nicht zur Verfügung.
In der Regel ist für die USA die Übermittlung nur an Unternehmen, die sich dem EU-US Privacy Shield unterworfen haben, möglich.
Sie können auf der Privacy Shield Website prüfen, welche Unternehmen sich dem Privacy Shield unterworfen haben. Im Privacy Shield wird zwischen HR (Personaldaten) und non-HR Daten unterschieden. Dropbox zum Beispiel, erlaubt nur non-HR Daten.
Microsoft, Amazon und Dropbox sind im Privacy Shield und daher sind Datenübertragungen möglich. Apple ist nicht im Privacy Shield und daher darf die Apple Cloud in Unternehmen nicht verwendet werden. Auch Facebook ist im Privacy Shield. Die Verwendung von WhatsApp in Unternehmen ist aber trotzdem problematisch.
Für die Schweiz gibt es ein US-Swiss Privacy Shield, das wie das EU Shield funktioniert. Die Informationen sind auf der gleichen Website.