EU-US Privacy Shield
Der EU-US Privacy Shield (auch EU-US-Datenschutzschild) umfasst informelle Absprachen auf dem Gebiet des Datenschutzrechts seit dem Jahre 2015 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika. Er betrifft Zusicherungen der US-amerikanischen Bundesregierung und einen Angemessenheitsbeschluss der EU-Kommission.[1][2] Die Kommission beschloss am 12. Juli 2016, dass die Vorgaben des Datenschutzschilds dem Datenschutzniveau der Europäischen Union entsprechen.[3][4][5]
Durchführungsbeschluss (EU) 2016/1250 | |
---|---|
Titel: | Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes |
Bezeichnung: (nicht amtlich) | EU-US-Datenschutzschild |
Geltungsbereich: | EWR |
Rechtsmaterie: | Datenschutzrecht |
Grundlage: | Richtlinie 95/46/EG, insbesondere Artikel 25 Absatz 6 |
Fundstelle: | ABl. L 207, 1. August 2016, S. 1–112 |
Volltext | Konsolidierte Fassung (nicht amtlich) Grundfassung |
Regelung wurde für nichtig erklärt. | |
Bitte den Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union beachten! |
Die Absprache regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Sie wurde notwendig, als der Europäische Gerichtshof (EuGH) im Oktober 2015 die bis dahin angewendete Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärte.[6]
Am 16. Juli 2020 erklärte der EuGH auch den Angemessenheitsbeschluss der EU-Kommission über das EU-US Privacy Shield durch das Schrems-II-Urteil für ungültig.[7]
Der EU-US Privacy Shield wurde zwischen dem Durchführungsbeschluss der Kommission 2016 und der Entscheidung des EuGH 2020 angewendet.
Nachfolger ist das EU-US Data Privacy Framework, für das die Europäische Kommission im Juli 2023 den Angemessenheitsbeschluss angenommen hat. Der Angemessenheitsbeschluss kann ab diesem Zeitpunkt als Grundlage für Datenübermittlungen an zertifizierte Organisationen in den USA dienen.[8]
Geschichte
Die Einigung mit den USA auf den EU-US Privacy Shield gab die Europäische Kommission am 2. Februar 2016 bekannt.[9][10]
Als Voraussetzung unterzeichnete US-Präsident Barack Obama am 24. Februar 2016 mit dem Judicial Redress Act ein Gesetz, das EU-Bürgern eine Klagemöglichkeit in den USA eröffnet, die eine Verletzung des Datenschutzes geltend machen. Anders als amerikanische Staatsbürger muss man nach Wertung des ehemaligen Bundesdatenschutzbeauftragten Peter Schaar dabei zunächst versuchen, seine Rechte auf dem Verwaltungsweg durchzusetzen.[11][12]
Das Abkommen sowie begleitende europarechtliche Beschlüsse und Regelungen wurden am 29. Februar 2016 veröffentlicht[13][1] und in der Folge nur noch unwesentlich geändert.[14] Der Wortlaut der Texte wurde bei der Vorstellung der Regelungen bekanntgegeben.[4]
Anfang Juli 2016 stimmten die meisten EU-Mitgliedsstaaten dem Datenschutzschild zu. Österreich, Kroatien, Slowenien und Bulgarien enthielten sich. Die Bundesdatenschutzbeauftragte Andrea Voßhoff erklärte, „insbesondere im sogenannten kommerziellen Teil“ habe die Kommission zuvor „viele Forderungen der Datenschützer berücksichtigt“ und den ursprünglich vorgelegten Entwurf abgeändert. Es solle aber für die Datenschützer keine weitere Möglichkeit mehr zur Stellungnahme geben.[2]
In der Übergangszeit orientierten sich amerikanische Unternehmen an den Standardvertragsklauseln nach Artikel 26 Absatz 2 der EU-Datenschutzrichtlinie von 1995, denen Datenschützer der EU einst zugestimmt hatten. Auf dieses Vorgehen hatte die Europäische Kommission verwiesen.[15][16]
Die Kommission hat den Angemessenheitsbeschluss, wonach „die Garantien für die Übermittlung von Daten auf der Grundlage des neuen EU-US-Datenschutzschilds den Datenschutzstandards in der EU entsprechen“,[1] nach der Anhörung der Artikel-29-Datenschutzgruppe[1] am 12. Juli 2016 gefasst und den EU-Mitgliedsstaaten zugeleitet.[3][4]
Am 16. September 2016 reichte die irische Organisation Digital Rights Ireland beim Gericht der Europäischen Union (EuG) eine Nichtigkeitsklage nach Art. 263 AEUV gegen den Angemessenheitsbeschluss der Europäischen Kommission zum EU-US Datenschutzschild ein.[17][18] Auch Netzaktivisten von La Quadrature du Net und das French Data Network FDN sowie FFDN leiteten entsprechende Verfahren ein.[19]
Daher erklärte der EU-Justiz- und Verbraucherkommissar Didier Reynders im Mai 2020 im Schreiben EN E-001120/2020: „Die Kommission ist eine Partei in den zwei vor dem Europäischen Gerichtshof anhängigen Verfahren, die für den Privacy Shield relevant sind (T-738-16, La Quadrature du Net und C-311/18, Schrems II). Zwar kann die Kommission das Ergebnis der Rechtsstreitigkeiten nicht vorhersagen, aber sie nimmt mögliche Szenarien in Augenschein […] Parallel setzt die Kommission ihre Arbeit bezüglich alternativer Instrumente für den internationalen Austausch personenbezogener Daten fort; dazu gehört auch die Überprüfung bestehender Standardvertragsklauseln.“ Der EU-Generalanwalt äußerte vor der Verhandlung zur Geltung vor dem Europäischen Gerichtshof (EuGH) am 16. Juli 2020 erhebliche Zweifel an der Gültigkeit des EU-US Privacy Shield-Abkommens.
Nach dem Wechsel zur Regierung Trump erklärte die EU-Justizkommissarin Věra Jourová im März 2017, sie setze die Absprachen außer Kraft, falls die Bundesregierung der USA „etwas ‚signifikant‘ ändere“. Die „Unberechenbarkeit“ der neuen Regierung sei „ein Problem“.[20] In ihrem ersten Bericht zu Erfahrungen mit dem Abkommen erklärte sie im Oktober 2017, das Verfahren „funktioniere“ und biete „weiterhin ein angemessenes Datenschutzniveau“. Sie empfahl „Verbesserungen“, darunter die Aufklärung der EU-Bürger über ihre Rechte aus dem Datenschutzschild. Auch forderte sie, den Ombudsmann bald möglichst zu ernennen.[21] Der Hauptgeschäftsführer der Nichtregierungsorganisation Digitale Gesellschaft, Alexander Sander, widersprach der Stellungnahme der Kommission. Der Rechtsschutz für EU-Bürger sei unzureichend ausgestaltet.[22]
Mit Urteil vom 16. Juli 2020 (Rechtssache C-311/18) erklärte der Europäische Gerichtshof den Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig.[23] Datenschutzrechtlich Verantwortliche können sich seitdem bei Datentransfers zu Verantwortlichen oder Auftragsverarbeitern mit Sitz in den Vereinigten Staaten, die sich selbst nach dem EU-US Privacy Shield zertifiziert haben, nicht mehr auf die Angemessenheit des Datenschutzniveaus gem. Art. 45 DSGVO berufen.
Am 25. März 2022 erklärten EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden eine „grundsätzliche Einigung“ über eine weitere Privacy-Shield-Vereinbarung, ohne dass in den USA Überwachungsgesetze geändert wurden.[24] Zusicherungen der Exekutive können nicht eingeklagt werden. Eine Entscheidung des Obersten Gerichtshofs der Vereinigten Staaten vom März 2022 hatte die Hürden für eine Vereinbarung weiter erhöht. Die US-amerikanische Bundesregierung erhielt mehr Spielraum bei der Berufung auf „Staatsgeheimnisse“ in Spionagefällen. US-amerikanische Bürger und EU-Bürger können nun schwerer eine geheime Überwachung in den USA vor dortigen Gerichten anfechten.[25]
Am 13. Dezember 2022 hat die EU-Kommission einen Entwurf für das Privacy Shield 2.0 veröffentlicht.[26]
Regelungen
Der Privacy Shield umfasst in der Ende Februar 2016 veröffentlichten Fassung das Abkommen selbst, einen „Angemessenheitsbeschluss“ der Europäischen Kommission und weitere Texte, die in das Gesetzgebungsverfahren der EU-Mitgliedsstaaten eingebracht werden sollen. Darunter sind Grundsätze zum Datenschutz, die von amerikanischen Unternehmen einzuhalten sind, sowie schriftliche Zusicherungen der US-amerikanischen Bundesregierung, die im US-Bundesregister zu veröffentlichen sind. Diese Zusicherungen enthielten „Garantien und Beschränkungen für den Datenzugriff durch Behörden“.[1]
US-amerikanische Unternehmen werden sich, wie zuvor bei der Safe-Harbor-Liste, wiederum in eine Liste eintragen um sich zu verpflichten, die diesbezüglichen Verpflichtungen einzuhalten.[27]
Die amerikanische Seite habe zur Überzeugung der Europäischen Kommission zugesichert, wirksame Aufsichtsmaßnahmen gegen Unternehmen durchzuführen, die mit Sanktionen bewehrt sind, bis hin zur Streichung aus der Liste der begünstigten Unternehmen. Die Weitergabe von Daten an dritte Unternehmen sei nunmehr an strengere Voraussetzungen gebunden.[1]
Die EU-Kommission erklärte, die amerikanische Regierung habe der EU über das Büro des Direktors der Nachrichtendienste schriftlich zugesichert, Zugriffe auf personenbezogene Daten von EU-Bürgern aus Gründen der nationalen Sicherheit „klaren Beschränkungen, Garantien und Aufsichtsmechanismen“ zu unterwerfen. EU-Bürger könnten sich an einen Ombudsmann beim US-amerikanischen Außenministerium wenden, um Verstößen nachzugehen und prüfen zu lassen, ob ein Unternehmen rechtswidrig handelte. Alle schriftlichen Auskünfte und Erklärungen der Ombudsstelle würden im US-Bundesregister veröffentlicht.[1]
EU-Bürgern werden gegenüber den US-amerikanischen Unternehmen Ansprüche eingeräumt. Beschwerden müssten die Unternehmen in 45 Tagen nachgehen. Im Streitfall gebe es ein Verfahren zur alternativen Streitbeilegung. Daneben können sich EU-Bürger auch an ihre nationalen Datenschutzbehörden wenden, die gemeinsam mit der Federal Trade Commission Beschwerden nachgehen würden. Unternehmen, die Personaldaten verarbeiten, müssen den Empfehlungen der nationalen Datenschutzbehörden der EU-Mitgliedsstaaten nachkommen; andere Unternehmen können sich hierzu freiwillig verpflichten.[1]
Die Europäische Kommission werde jährlich einen Bericht über die Erfahrungen mit dem Datenschutzschild erstellen und dem Europäischen Parlament und dem Europäischen Rat zuleiten. Die Überprüfung werde von der Kommission gemeinsam mit dem US-Handelsministerium durchgeführt. „Sachverständige der US-Nachrichtendienste und der europäischen Datenschutzbehörden“ würden ebenso beteiligt wie Nichtregierungsorganisationen und „sonstige Beteiligte“, die zu einem Datenschutzgipfel eingeladen würden.[1]
Kritik
Das Abkommen – die amerikanische Presse sprach von einem „Deal“[28] – war von Anfang an erheblicher Kritik ausgesetzt. So wies Maximilian Schrems, der Kläger in dem Ausgangsverfahren, durch das die Safe-Harbor-Regelung zu Fall gebracht wurde, darauf hin, dass Zusagen der US-Bundesregierung kurz vor der Präsidentschaftswahl in den Vereinigten Staaten 2016 „in keiner Weise eine ausreichende Grundrechtsgarantie für Hunderte Millionen Europäer darstelle“.[9] Im Juli 2016 konkretisierte er seine Kritik in einem Interview im Deutschlandfunk. Es werde nach dem Inkrafttreten des Beschlusses über den EU-US-Datenschutzschild keine wesentlich andere Rechtslage geben als zuvor unter der Geltung von Safe-Harbor: „Da steht genauso drin, US-Recht hat Vorrang, wenn US-Recht sagt, die Daten dürfen abgefangen werden, dann dürfen die abgefangen werden. […] Wenn man […] die Dokumente anschaut […], steht da ausdrücklich drin, dass es für sechs Fälle auf jeden Fall noch Massenüberwachung gibt. Und dann ist es auch so, dass diese Definition, was Massenüberwachung eigentlich ist, bei den Amerikanern ein bisschen skurril ist.“[29][30] Zusammen mit dem grünen Europaabgeordneten Jan Philipp Albrecht bezog Schrems parallel zu der Vorstellung des Privacy Shield am 12. Juli 2016 bei einer Pressekonferenz in Brüssel Position gegen das Abkommen.[31]
Der Privacy Shield wurde auch von 27 Bürgerrechtsorganisationen[32] und von Datenschützern[33] abgelehnt. Moniert wurde vor allem, dass das Abkommen rechtlich nicht verbindlich sei. Es sei kein Vertrag, sondern nur eine Sammlung von Briefen. Massenüberwachungsmaßnahmen durch die Regierung der USA blieben zulässig – ohne Verhältnismäßigkeitsprüfung, was europäisches Recht verletze. Betroffenen könnten ihre Rechte weiterhin nicht wirksam verfolgen, weil sie von der Überwachung nicht erführen. Daher nutze ihnen auch kein Ombudsmann, der ohnehin über die notwendigen Befugnisse nicht verfüge.[34]
Die Artikel-29-Datenschutzgruppe meldete in einer Stellungnahme am 13. April 2016 Bedenken gegen den Privacy Shield an. Die Datenschützer führten aus, es liege weiter eine flächendeckende und anlasslose Überwachung der EU-Bürger vor. Weiterhin werde das Datenaufbewahrungsprinzip nicht anerkannt. Dem vorgesehenen Ombudsmann fehle es – als Beamten des amerikanischen Außenministeriums – an der nötigen Unabhängigkeit.[35][36]
Am 24. Mai 2016 hatte auch das Europäische Parlament mit 501 zu 119 Stimmen in einem gemeinsamen Entschließungsantrag die Kommission aufgefordert, den bekannten Mängeln des Privacy Shields abzuhelfen.[37][38]
Nachdem der neu gewählte Präsident Donald Trump am 25. Januar 2017 eine Anordnung unterzeichnete, wonach die Geltung des Privacy Acts für Personen, die keine US-amerikanischen Staatsangehörigen oder keine ständigen rechtmäßigen Einwohner der USA sind, ausgeschlossen sei,[39] bezweifelte Peter Schaar, ob noch von einem „angemessenen Datenschutzniveau“ für EU-Bürger auszugehen sei.[40]
Das Europäische Parlament nahm am 6. April 2017 eine kritische Resolution zum Privacy Shield an. Die Mehrheit des Parlaments stellte darin erhebliche Defizite beim Datenschutz fest und hält die Überwachungspraxis in den USA mit EU-Recht für unvereinbar.[41]
Bei der ersten Sitzung des Europäischen Datenschutzausschusses im Januar 2019 wurde moniert, dass die Position des Ombudsmanns noch immer nicht dauerhaft besetzt sei; auch fehle eine Offenlegung seiner Befugnisse gegenüber den Sicherheitsbehörden. Der Bundesdatenschutzbeauftragte bezweifelte, dass „der Ombudspersonmechanismus in der Praxis das erforderliche Maß an Rechtsschutz gewährt“, und forderte Abhilfe.[42]
Weitere Angemessenheitsbeschlüsse der EU-Kommission
Die Europäische Kommission beschloss in weiteren Fällen, dass andere Länder ein mit der EU vergleichbares Datenschutzniveau aufweisen. Stand Mai 2023 gab es 14 Angemessenheitsbeschlüsse in Bezug auf den Datenverkehr mit Andorra, Argentinien, den britischen Kronbesitztümern Guernsey, Isle of Man und Jersey, der dänischen Inselgruppe Färöer, Israel, Japan, Kanada (nur für kommerzielle Organisationen), Neuseeland, der Schweiz, Südkorea, das Vereinigte Königreich und Uruguay.[43]
Literatur
- Holger Bleich: FAQ: Das Ende des Privacy Shields. In: c’t. Nr. 21, 26. September 2020, S. 176–177 (heise.de).
- Robert Klecha: Datenübermittlungen in die USA nach dem Safe-Harbor-Urteil des EuGH. Eine Untersuchung unter besonderer Berücksichtigung des EU-US Privacy Shield. In: Schriftenreihe Beiträge zu Datenschutz und Informationsfreiheit. Nr. 22. Verlag Dr. Kovač, Hamburg 2018, ISBN 978-3-339-10480-9.
- Netzwerk Datenschutzexpertise (Hrsg.): Privacy Shield – Darstellung und rechtliche Bewertung. 7. März 2016 (netzwerk-datenschutzexpertise.de [abgerufen am 1. Oktober 2020]).
Weblinks
- Privacy Shield – Website der US-amerikanischen Bundesregierung (englisch) zu den Absprachen mit der Europäischen Union und der Schweiz
- EU-US-Datenschutzschild: Häufig gestellte Fragen. In: Europäische Kommission. Europäische Union, 29. Februar 2016 .
- Angemessenheitsbeschluß der EU-Kommission. – im Amtsblatt der EU
- Überblick zur Kritik am EU-US Privacy Shield – im Blog netzpolitik.org
Einzelnachweise
- Europäische Kommission stellt EU-US-Datenschutzschild vor: verbindliche Garantien zur Wiederherstellung des Vertrauens in den transatlantischen Datenverkehr. In: europa.eu. 29. Februar 2016, abgerufen am 29. Februar 2016.
- Christiane Schulzki-Haddouti: EU-US-Datentransfer: EU-Mitgliedstaaten stimmen Privacy Shield zu. In: heise online. 8. Juli 2016, abgerufen am 10. Juli 2016.
- Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (Bekannt gegeben unter Aktenzeichen C(2016) 4176) (Text von Bedeutung für den EWR) , abgerufen am 28. Oktober 2016 Amtsblatt der EU, ABl. L 207 vom 1. August 2016, S. 1–112.
- Europäische Kommission lanciert EU-US-Datenschutzschild: besserer Schutz für den transatlantischen Datenverkehr. In: europa.eu. 12. Juli 2016, abgerufen am 12. Juli 2016.
- Martin Holland: Privacy Shield: Umstrittene Regeln für Datentransfers in die USA treten in Kraft. In: heise online. 12. Juli 2016, abgerufen am 12. Juli 2016.
- Urteil in der Rechtssache C-362/14 – Maximillian Schrems gegen Data Protection Commissioner, abgerufen am 29. Februar 2016
- Stefan Krempl: EuGH kippt EU-US-Datenschutzvereinbarung „Privacy Shield“. In: Heise Online Newsticker. 16. Juli 2020, abgerufen am 16. Juli 2020.
- Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten. In: bfdi.bund.de. 10. Juli 23, abgerufen am 17. Juli 2023.
- Einigung zwischen EU und USA: Safe Harbor heißt jetzt "EU-US-Privacy Shield". In: heise online. 2. Februar 2016, abgerufen am 29. Februar 2016.
- Kommission und Vereinigte Staaten einigen sich auf neuen Rahmen für die transatlantische Datenübermittlung: den EU-US-Datenschutzschild. In: europa.eu. 2. Februar 2016, abgerufen am 29. Februar 2016.
- Stefan Krempl: Datenschutz: EU-Bürger erhalten theoretisch Klagemöglichkeit in den USA. In: heise online. 25. Februar 2016, abgerufen am 29. Februar 2016.
- Peter Schaar: Ist das „Privacy Shield“ endlich ein sicherer Hafen? In: heise online. 2. Februar 2016, abgerufen am 29. Februar 2016.
- Stefan Krempl: Privacy Shield: EU-Kommission veröffentlicht Text für löchrigen Datenschutzschild. In: heise online. 29. Februar 2016, abgerufen am 29. Februar 2016.
- Ingo Dachwitz: Privacy Shield: Neue Grundlage für transatlantischen Datenverkehr gilt jetzt – noch. 12. Juli 2016, abgerufen am 13. Juli 2016.
- Hauke Gierow: Safe-Harbor-Urteil: Google und Microsoft suchen neue Wege des Datentransfers. In: www.golem.de. 16. Oktober 2015, abgerufen am 19. Juni 2016.
- European Commission – PRESS RELEASES – Press release – First Vice-President Timmermans and Commissioner Jourová 's press conference on Safe Harbour following the Court ruling in case C-362/14 (Schrems). In: europa.eu. Abgerufen am 19. Juni 2016.
- Digital Rights Ireland ./. Kommission, Rechtssache T-670/16. In: curia.europa.eu. Abgerufen am 28. Oktober 2016.
- Privacy group launches legal challenge against EU-U.S. data pact. In: Reuters. 27. Oktober 2016 (englisch, reuters.com [abgerufen am 28. Oktober 2016]).
- Marc Rees: Le Privacy Shield attaqué en Europe par la Quadrature, FDN et FFDN. 31. Oktober 2016 (französisch, nextinpact.com [abgerufen am 3. November 2016]).
- Christiane Schulzki-Haddouti: Privacy Shield: EU-Justizkommissarin Jourová droht mit Kündigung. In: Heise Online. 3. März 2017, abgerufen am 5. März 2017.
- EU-U.S. Privacy Shield: First review shows it works but implementation can be improved. In: Pressemitteilung. Europäische Kommission, 18. Oktober 2017, abgerufen am 20. Oktober 2017 (englisch).
- Ingo Dachwitz: Erste jährliche Prüfung: EU-Kommission winkt Privacy Shield durch. In: netzpolitik.org. 18. Oktober 2017, abgerufen am 20. Oktober 2017.
- EuGH (Große Kammer) Urteil in der Rechtssache C-311/18 Data Protection Commissioner gegen Facebook Ireland Limited und Maximillian Schrems , abgerufen am 16. Juli 2020
- EU-Kommission: Statement by President von der Leyen with US President Biden. 25. März 2022, abgerufen am 25. März 2022.
- SUPREME COURT OF THE UNITED STATES: FEDERAL BUREAU OF INVESTIGATION, ET AL., PETITIONERS v. YASSIR FAZAGA, ET AL. 25. März 2022, archiviert vom (nicht mehr online verfügbar) am 7. März 2022; abgerufen am 25. März 2022 (englisch). Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.
- Christian WIGAND, Katarzyna KOLANKO, Cristina TORRES CASTILLO: Datenschutz: Kommission leitet Verfahren zur Annahme eines Angemessenheitsbeschlusses für einen sicheren Datenverkehr mit den USA ein. In: ec.europa.eu. Europäische Kommission, 13. Dezember 2022, abgerufen am 28. März 2023 (deutsch, englisch).
- Europäische Kommission: EU-U.S. Privacy Shield: Frequently Asked Questions. In: europa.eu. 29. Februar 2016, abgerufen am 29. Februar 2016.
- Mark Scott: Europe Approves New Trans-Atlantic Data Transfer Deal. In: The New York Times. 12. Juli 2016, ISSN 0362-4331 (englisch, nytimes.com [abgerufen am 13. Juli 2016]).
- Datenschutzvereinbarung: „Da steht genauso drin: US-Recht hat Vorrang“. Maximilian Schrems im Gespräch mit Mario Dobovisek. In: Deutschlandfunk. 5. Juli 2016, abgerufen am 10. Juli 2016.
- Markus Beckedahl: Privacy-Shield: „Da steht genauso drin, US-Recht hat Vorrang“. In: netzpolitik.org. 5. Juli 2016, abgerufen am 10. Juli 2016.
- Jan Weisensee: Privacy Shield: Also wieder vor Gericht ziehen? In: netzpolitik.org. 12. Juli 2016, abgerufen am 12. Juli 2016.
- Transatlantic coalition of civil society groups: Privacy Shield is not enough – renegotiation is needed. In: EDRi. 16. März 2016, abgerufen am 28. März 2016 (englisch).
- Privacy Shield – Darstellung und rechtliche Bewertung. Netzwerk Datenschutzexpertise, 7. März 2016, abgerufen am 28. März 2016.
- Bürgerrechtler und Datenschützer lehnen Safe-Harbor-Nachfolger ab. In: Haufe.de News, Compliance. 24. März 2016, abgerufen am 28. März 2016.
- Artikel-29-Datenschutzgruppe: Opinion 01/2016 on the EU–U.S. Privacy Shield draft adequacy decision. 13. April 2016, abgerufen am 14. April 2016 (englisch).
- Axel Spies: USA-EU Privacy Shield: die Datenschutzbehörden sind nicht so ganz einverstanden. In: blog.beck.de. Abgerufen am 13. April 2016.
- Gemeinsamer Entschließungsantrag zur transatlantischen Datenübermittlung – RC-B8-0623/2016. In: www.europarl.europa.eu. Abgerufen am 19. Juni 2016.
- EU-Parlament: Privacy Shield muss überarbeitet werden. In: derStandard.at. Abgerufen am 19. Juni 2016.
- Executive Order: Enhancing Public Safety in the Interior of the United States. In: whitehouse.gov. 25. Januar 2017 (englisch, whitehouse.gov [abgerufen am 28. Januar 2017]).
- Peter Schaar: Analyse: Amerika mauert sich ein – Privacy Shield vor dem Aus? 28. Januar 2017, abgerufen am 28. Januar 2017.
- Europäisches Parlament (Hrsg.): Data Privacy Shield: MEPs alarmed at undermining of privacy safeguards in the US. 6. April 2017 (englisch, europa.eu [abgerufen am 28. Mai 2017]).
- Erstes Treffen der Europäischen Datenschutzbeauftragten in 2019. Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, 23. Januar 2019, abgerufen am 23. Januar 2019 (Pressemitteilung 1/2019).
- Adequacy decisions. In: EU-Kommission. Europäische Union, abgerufen am 3. Mai 2023 (englisch, mit weiteren Nachweisen).