EU-US Privacy Shield
Der EU-US Privacy Shield (auch EU-US-Datenschutzschild) ist eine informelle Absprache auf dem Gebiet des Datenschutzrechts, die von 2015 bis 2016 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika ausgehandelt wurde. Sie besteht aus einer Reihe von Zusicherungen der US-amerikanischen Bundesregierung und einem Angemessenheitsbeschluss der EU-Kommission.[1][2] Die Kommission hatte am 12. Juli 2016 beschlossen, dass die Vorgaben des Datenschutzschilds dem Datenschutzniveau der Europäischen Union entsprechen.[3][4][5]
Durchführungsbeschluss (EU) 2016/1250 | |
---|---|
Titel: | Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes |
Bezeichnung: (nicht amtlich) | EU-US-Datenschutzschild |
Geltungsbereich: | EWR |
Rechtsmaterie: | Datenschutzrecht |
Grundlage: | Richtlinie 95/46/EG, insbesondere Artikel 25 Absatz 6 |
Fundstelle: | ABl. L 207 vom 1.8.2016, S. 1–112 |
Volltext | Konsolidierte Fassung (nicht amtlich) Grundfassung |
Regelung wurde für nichtig erklärt. | |
Bitte den Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union beachten! |
Die Absprache regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Sie war notwendig geworden, nachdem der Europäische Gerichtshof (EuGH) im Oktober 2015 die bis dahin angewendete Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärt hatte.[6]
Am 16. Juli 2020 erklärte der EuGH auch den Angemessenheitsbeschluss der EU-Kommission über das EU-US Privacy Shield durch das Schrems-II-Urteil für ungültig.[7]
Der EU-US Privacy Shield wurde zwischen dem Durchführungsbeschluss der Kommission 2016 und der Entscheidung des EuGH 2020 angewendet.
Geschichte
Die Einigung mit den USA auf den EU-US Privacy Shield gab die Europäische Kommission am 2. Februar 2016 bekannt.[8][9]
Als Voraussetzung unterzeichnete US-Präsident Barack Obama am 25. Februar 2016 mit dem Judicial Redress Act ein Gesetz, das EU-Bürgern eine Klagemöglichkeit in den USA eröffnet, die eine Verletzung des Datenschutzes geltend machen. Anders als amerikanische Staatsbürger muss man nach Wertung des ehemaligen Bundesdatenschutzbeauftragten Peter Schaar dabei zunächst versuchen, seine Rechte auf dem Verwaltungsweg durchzusetzen.[10][11]
Das Abkommen sowie begleitende europarechtliche Beschlüsse und Regelungen wurden am 29. Februar 2016 veröffentlicht[12][1] und in der Folge nur noch unwesentlich geändert.[13] Der Wortlaut der Texte wurde bei der Vorstellung der Regelungen bekanntgegeben.[4]
Anfang Juli 2016 stimmten die meisten EU-Mitgliedsstaaten dem Datenschutzschild zu. Österreich, Kroatien, Slowenien und Bulgarien enthielten sich. Die Bundesdatenschutzbeauftragte Andrea Voßhoff erklärte, „insbesondere im sogenannten kommerziellen Teil“ habe die Kommission zuvor „viele Forderungen der Datenschützer berücksichtigt“ und den ursprünglich vorgelegten Entwurf abgeändert. Es solle aber für die Datenschützer keine weitere Möglichkeit mehr zur Stellungnahme geben.[2]
In der Übergangszeit orientierten sich amerikanische Unternehmen an den Standardvertragsklauseln nach Artikel 26 Absatz 2 der EU-Datenschutzrichtlinie von 1995, denen Datenschützer der EU einst zugestimmt hatten. Auf dieses Vorgehen hatte die Europäische Kommission verwiesen.[14][15]
Die Kommission hat den Angemessenheitsbeschluss, wonach „die Garantien für die Übermittlung von Daten auf der Grundlage des neuen EU-US-Datenschutzschilds den Datenschutzstandards in der EU entsprechen“,[1] nach der Anhörung der Artikel-29-Datenschutzgruppe[1] am 12. Juli 2016 gefasst und den EU-Mitgliedsstaaten zugeleitet.[3][4]
Am 16. September 2016 reichte die irische Organisation Digital Rights Ireland beim Gericht der Europäischen Union (EuG) eine Nichtigkeitsklage nach Art. 263 AEUV gegen den Angemessenheitsbeschluss der Europäischen Kommission zum EU-US Datenschutzschild ein.[16][17] Auch Netzaktivisten von La Quadrature du Net und das French Data Network FDN sowie FFDN leiteten entsprechende Verfahren ein.[18]
Daher erklärte der EU-Justiz- und Verbraucherkommissar Didier Reynders im Mai 2020 im Schreiben EN E-001120/2020: „Die Kommission ist eine Partei in den zwei vor dem Europäischen Gerichtshof anhängigen Verfahren, die für den Privacy Shield relevant sind (T-738-16, La Quadrature du Net und C-311/18, Schrems II). Zwar kann die Kommission das Ergebnis der Rechtsstreitigkeiten nicht vorhersagen, aber sie nimmt mögliche Szenarien in Augenschein… Parallel setzt die Kommission ihre Arbeit bezüglich alternativer Instrumente für den internationalen Austausch personenbezogener Daten fort; dazu gehört auch die Überprüfung bestehender Standardvertragsklauseln.“ Der EU-Generalanwalt äußerte vor der Verhandlung zur Geltung vor dem Europäischen Gerichtshof (EuGH) am 16. Juli 2020 erhebliche Zweifel an der Gültigkeit des EU-US Privacy Shield-Abkommens.
Nach dem Wechsel zur Regierung Trump erklärte die EU-Justizkommissarin Věra Jourová im März 2017, sie setze die Absprachen außer Kraft, falls die Bundesregierung der USA „etwas ‚signifikant‘ ändere“. Die „Unberechenbarkeit“ der neuen Regierung sei „ein Problem“.[19] In ihrem ersten Bericht zu Erfahrungen mit dem Abkommen erklärte sie im Oktober 2017, das Verfahren „funktioniere“ und biete „weiterhin ein angemessenes Datenschutzniveau“. Sie empfahl „Verbesserungen“, darunter die Aufklärung der EU-Bürger über ihre Rechte aus dem Datenschutzschild. Auch forderte sie, den Ombudsmann bald möglichst zu ernennen.[20] Der Hauptgeschäftsführer der Nichtregierungsorganisation Digitale Gesellschaft, Alexander Sander, widersprach der Stellungnahme der Kommission. Der Rechtsschutz für EU-Bürger sei unzureichend ausgestaltet.[21]
Mit Urteil vom 16. Juli 2020 (Rechtssache C-311/18) erklärte der Europäische Gerichtshof den Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig.[22] Datenschutzrechtlich Verantwortliche können sich nun nicht mehr länger bei Datentransfers zu Verantwortlichen oder Auftragsverarbeitern mit Sitz in den Vereinigten Staaten, die sich selbst nach dem EU-US Privacy Shield zertifiziert haben, auf die Angemessenheit des Datenschutzniveaus gem. Art. 45 DSGVO berufen.
Regelungen
Der Privacy Shield besteht der Ende Februar 2016 veröffentlichten Fassung zufolge aus einem Paket an Regelungen: Dem Abkommen selbst, einem „Angemessenheitsbeschluss“ der Europäischen Kommission und weiteren Texten, die in das europäische Gesetzgebungsverfahren eingebracht werden sollen. Darunter sind die Grundsätze zum Datenschutz, die von den amerikanischen Unternehmen einzuhalten sind, sowie schriftliche Zusicherungen der US-amerikanischen Bundesregierung, die im US-Bundesregister zu veröffentlichen sind. Diese Zusicherungen enthielten „Garantien und Beschränkungen für den Datenzugriff durch Behörden“.[1]
Die amerikanischen Unternehmen werden sich, ähnlich wie schon zuvor bei der Safe-Harbor-Liste, wiederum in eine entsprechende Liste eintragen und sich selbst dazu verpflichten, die diesbezüglichen Verpflichtungen einzuhalten.[23]
Die amerikanische Seite habe zur Überzeugung der Europäischen Kommission zugesichert, wirksame Aufsichtsmaßnahmen gegen Unternehmen durchzuführen, die mit Sanktionen bewehrt sind, bis hin zur Streichung aus der Liste der begünstigten Unternehmen. Die Weitergabe von Daten an dritte Unternehmen sei nunmehr an strengere Voraussetzungen gebunden.[1]
Weiterhin erklärte die EU-Kommission, die amerikanische Regierung habe der EU über das Büro des Direktors der Nachrichtendienste schriftlich zugesichert, den Zugriff auf personenbezogene Daten von EU-Bürgern aus Gründen der nationalen Sicherheit „klaren Beschränkungen, Garantien und Aufsichtsmechanismen“ zu unterwerfen. EU-Bürger könnten sich an einen Ombudsmann beim amerikanischen Außenministerium wenden, um Verstößen nachzugehen und prüfen zu lassen, ob ein Unternehmen rechtswidrig gehandelt habe. Alle schriftlichen Auskünfte und Erklärungen der Ombudsstelle würden im US-Bundesregister veröffentlicht.[1]
EU-Bürgern werden auch gegenüber den amerikanischen Unternehmen Ansprüche eingeräumt. Beschwerden müssten die Unternehmen innerhalb von 45 Tagen nachgehen. Im Streitfall gebe es ein Verfahren zur alternativen Streitbeilegung. Daneben können sich die Bürger aber auch an ihre nationalen Datenschutzbehörden wenden, die gemeinsam mit der Federal Trade Commission Beschwerden nachgehen würden. Unternehmen, die Personaldaten verarbeiten, müssen den Empfehlungen der nationalen Datenschutzbehörden der EU-Mitgliedsstaaten nachkommen; andere Unternehmen können sich hierzu freiwillig verpflichten.[1]
Die Europäische Kommission werde jährlich einen Bericht über die Erfahrungen mit dem Datenschutzschild erstellen und diesen dem Europäischen Parlament und dem Europäischen Rat zuleiten. Die Überprüfung werde von der Kommission gemeinsam mit dem US-Handelsministerium durchgeführt. „Sachverständige der US-Nachrichtendienste und der europäischen Datenschutzbehörden“ würden ebenso beteiligt wie Nichtregierungsorganisationen und „sonstige Beteiligte“, die zu einem Datenschutzgipfel eingeladen würden.[1]
Kritik
Das Abkommen – die amerikanische Presse sprach von einem „Deal“[24] – war von Anfang an erheblicher Kritik ausgesetzt. So wies Maximilian Schrems, der Kläger in dem Ausgangsverfahren, durch das die Safe-Harbor-Regelung zu Fall gebracht worden war, schon vor der Veröffentlichung der Einzelheiten darauf hin, dass Zusicherungen der US-Bundesregierung kurz vor der Präsidentschaftswahl in den Vereinigten Staaten 2016 „in keiner Weise eine ausreichende Grundrechtsgarantie für Hunderte Millionen Europäer darstelle“.[8] Im Juli 2016 konkretisierte er seine Kritik in einem Interview im Deutschlandfunk dahingehend, es werde nach seinem Dafürhalten nach dem Inkrafttreten des Beschlusses über den EU-US-Datenschutzschild keine wesentlich andere Rechtslage geben als zuvor unter der Geltung von Safe-Harbor: „Da steht genauso drin, US-Recht hat Vorrang, wenn US-Recht sagt, die Daten dürfen abgefangen werden, dann dürfen die abgefangen werden. … Wenn man … die Dokumente anschaut …, steht da ausdrücklich drin, dass es für sechs Fälle auf jeden Fall noch Massenüberwachung gibt. Und dann ist es auch so, dass diese Definition, was Massenüberwachung eigentlich ist, bei den Amerikanern ein bisschen skurril ist.“[25][26] Zusammen mit dem grünen Europaabgeordneten Jan Philipp Albrecht bezog Schrems parallel zu der Vorstellung des Privacy Shield am 12. Juli 2016 bei einer Pressekonferenz in Brüssel Position gegen das Abkommen.[27]
Nach Prüfung der veröffentlichten Unterlagen wurde der Privacy Shield auch von 27 Bürgerrechtsorganisationen[28] und von Datenschützern[29] abgelehnt. Moniert wurde vor allem, dass das Abkommen rechtlich nicht verbindlich sei, weil es sich dabei um keinen Vertrag, sondern lediglich um eine Sammlung von Briefen handele. Auch blieben Massenüberwachungsmaßnahmen durch die amerikanische Regierung weiterhin zulässig. Sie unterlägen insbesondere keiner Verhältnismäßigkeitsprüfung, was gegen europäisches Recht verstoße. Außerdem könnten die Betroffenen ihre Rechte weiterhin nicht wirksam verfolgen, weil sie von der Überwachung gar nicht erführen. Deshalb helfe ihnen auch der Ombudsmann nicht, der zudem nicht über die hierzu notwendigen Befugnisse verfüge.[30]
Die Artikel-29-Datenschutzgruppe hatte in einer Stellungnahme am 13. April 2016 Bedenken gegen den Privacy Shield angemeldet. Die Datenschützer führten aus, es liege weiterhin eine flächendeckende und anlasslose Überwachung der EU-Bürger vor. Weiterhin sei darin das Datenaufbewahrungsprinzip nicht anerkannt worden. Dem vorgesehenen Ombudsmann fehle es – als Beamten des amerikanischen Außenministeriums – an der nötigen Unabhängigkeit.[31][32]
Am 24. Mai 2016 hatte auch das Europäische Parlament mit 501 zu 119 Stimmen in einem gemeinsamen Entschließungsantrag die Kommission aufgefordert, den bekannten Mängeln des Privacy Shields abzuhelfen.[33][34]
Nachdem der neu gewählte Präsident Donald Trump am 25. Januar 2017 eine Anordnung unterzeichnet hatte, der zufolge die Geltung des Privacy Acts für Personen, die keine US-amerikanischen Staatsangehörigen oder keine ständigen rechtmäßigen Einwohner der USA sind, ausgeschlossen sei,[35] bezweifelte Peter Schaar, ob demnach noch von einem „angemessenen Datenschutzniveau“ für EU-Bürger ausgegangen werden könne.[36]
Das Europäische Parlament hat am 6. April 2017 eine kritische Resolution zum Privacy Shield angenommen. Die Mehrheit des Parlaments stellte darin erhebliche Defizite beim Datenschutz fest und hält die Überwachungspraxis in den USA mit EU-Recht für nicht vereinbar.[37]
Bei der ersten Sitzung des Europäischen Datenschutzausschusses im Januar 2019 wurde moniert, dass die Position des Ombudsmanns noch immer nicht dauerhaft besetzt worden sei; außerdem fehle es an der Offenlegung seiner Befugnisse gegenüber den Sicherheitsbehörden. Der Bundesdatenschutzbeauftragte bezweifelte, dass „der Ombudspersonmechanismus in der Praxis das erforderliche Maß an Rechtsschutz gewährt“, und forderte Abhilfe.[38]
Weitere Angemessenheitsbeschlüsse der EU-Kommission
Die Europäische Kommission hat in weiteren Fällen beschlossen, dass andere Länder ein mit der EU vergleichbares Datenschutzniveau aufweisen. Bis zum Mai 2019 gab es zwölf dementsprechende Angemessenheitsbeschlüsse in Bezug auf den Datenverkehr mit Andorra, Argentinien, den britischen Kronbesitztümern Guernsey, Isle of Man und Jersey, der dänischen Inselgruppe Färöer, Israel, Japan, Kanada (nur für kommerzielle Organisationen), Neuseeland, der Schweiz und Uruguay.[39]
Mit Südkorea wird seit mindestens 2018 (Stand Juli 2020) über einen Angemessenheitsbeschluss verhandelt.[40]
Literatur
- Holger Bleich: FAQ: Das Ende des Privacy Shields. In: c't. Nr. 21, 26. September 2020, S. 176–177 (heise.de).
- Robert Klecha: Datenübermittlungen in die USA nach dem Safe-Harbor-Urteil des EuGH. Eine Untersuchung unter besonderer Berücksichtigung des EU-US Privacy Shield. In: Schriftenreihe Beiträge zu Datenschutz und Informationsfreiheit. Nr. 22. Verlag Dr. Kovač, Hamburg 2018, ISBN 978-3-339-10480-9.
- Netzwerk Datenschutzexpertise (Hrsg.): Privacy Shield – Darstellung und rechtliche Bewertung. 7. März 2016 (netzwerk-datenschutzexpertise.de [abgerufen am 1. Oktober 2020]).
Weblinks
- Privacy Shield – Website der US-amerikanischen Bundesregierung (englisch) zu den Absprachen mit der Europäischen Union und der Schweiz
- EU-US-Datenschutzschild: Häufig gestellte Fragen. In: Europäische Kommission. Europäische Union, 29. Februar 2016 .
- Angemessenheitsbeschluß der EU-Kommission. – im Amtsblatt der EU
- Überblick zur Kritik am EU-US Privacy Shield – im Blog netzpolitik.org
Einzelnachweise
- Europäische Kommission stellt EU-US-Datenschutzschild vor: verbindliche Garantien zur Wiederherstellung des Vertrauens in den transatlantischen Datenverkehr. In: europa.eu. 29. Februar 2016, abgerufen am 29. Februar 2016.
- Christiane Schulzki-Haddouti: EU-US-Datentransfer: EU-Mitgliedstaaten stimmen Privacy Shield zu. In: heise online. 8. Juli 2016, abgerufen am 10. Juli 2016.
- Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (Bekannt gegeben unter Aktenzeichen C(2016) 4176) (Text von Bedeutung für den EWR) , abgerufen am 28. Oktober 2016 Amtsblatt der EU, ABl. L 207 vom 1. August 2016, S. 1–112.
- Europäische Kommission lanciert EU-US-Datenschutzschild: besserer Schutz für den transatlantischen Datenverkehr. In: europa.eu. 12. Juli 2016, abgerufen am 12. Juli 2016.
- Martin Holland: Privacy Shield: Umstrittene Regeln für Datentransfers in die USA treten in Kraft. In: heise online. 12. Juli 2016, abgerufen am 12. Juli 2016.
- Urteil in der Rechtssache C-362/14 – Maximillian Schrems gegen Data Protection Commissioner, abgerufen am 29. Februar 2016
- Stefan Krempl: EuGH kippt EU-US-Datenschutzvereinbarung „Privacy Shield“. In: Heise Online Newsticker. 16. Juli 2020, abgerufen am 16. Juli 2020.
- Einigung zwischen EU und USA: Safe Harbor heißt jetzt "EU-US-Privacy Shield". In: heise online. 2. Februar 2016, abgerufen am 29. Februar 2016.
- Kommission und Vereinigte Staaten einigen sich auf neuen Rahmen für die transatlantische Datenübermittlung: den EU-US-Datenschutzschild. In: europa.eu. 2. Februar 2016, abgerufen am 29. Februar 2016.
- Stefan Krempl: Datenschutz: EU-Bürger erhalten theoretisch Klagemöglichkeit in den USA. In: heise online. 25. Februar 2016, abgerufen am 29. Februar 2016.
- Peter Schaar: Ist das „Privacy Shield“ endlich ein sicherer Hafen? In: heise online. 2. Februar 2016, abgerufen am 29. Februar 2016.
- Stefan Krempl: Privacy Shield: EU-Kommission veröffentlicht Text für löchrigen Datenschutzschild. In: heise online. 29. Februar 2016, abgerufen am 29. Februar 2016.
- Ingo Dachwitz: Privacy Shield: Neue Grundlage für transatlantischen Datenverkehr gilt jetzt – noch. 12. Juli 2016, abgerufen am 13. Juli 2016.
- Hauke Gierow: Safe-Harbor-Urteil: Google und Microsoft suchen neue Wege des Datentransfers. In: www.golem.de. 16. Oktober 2015, abgerufen am 19. Juni 2016.
- European Commission – PRESS RELEASES – Press release – First Vice-President Timmermans and Commissioner Jourová 's press conference on Safe Harbour following the Court ruling in case C-362/14 (Schrems). In: europa.eu. Abgerufen am 19. Juni 2016.
- Digital Rights Ireland ./. Kommission, Rechtssache T-670/16. In: curia.europa.eu. Abgerufen am 28. Oktober 2016.
- Privacy group launches legal challenge against EU-U.S. data pact. In: Reuters. 27. Oktober 2016 (reuters.com [abgerufen am 28. Oktober 2016]).
- Marc Rees: Le Privacy Shield attaqué en Europe par la Quadrature, FDN et FFDN. 31. Oktober 2016 (nextinpact.com [abgerufen am 3. November 2016]).
- Christiane Schulzki-Haddouti: Privacy Shield: EU-Justizkommissarin Jourová droht mit Kündigung. In: Heise Online. 3. März 2017, abgerufen am 5. März 2017.
- EU-U.S. Privacy Shield: First review shows it works but implementation can be improved. In: Pressemitteilung. Europäische Kommission, 18. Oktober 2017, abgerufen am 20. Oktober 2017 (englisch).
- Ingo Dachwitz: Erste jährliche Prüfung: EU-Kommission winkt Privacy Shield durch. In: netzpolitik.org. 18. Oktober 2017, abgerufen am 20. Oktober 2017.
- EuGH (Große Kammer): Urteil in der Rechtssache C-311/18 Data Protection Commissioner gegen Facebook Ireland Limited und Maximillian Schrems. 16. Juli 2020, abgerufen am 16. Juli 2020.
- Europäische Kommission: EU-U.S. Privacy Shield: Frequently Asked Questions. In: europa.eu. 29. Februar 2016, abgerufen am 29. Februar 2016.
- Mark Scott: Europe Approves New Trans-Atlantic Data Transfer Deal. In: The New York Times. 12. Juli 2016, ISSN 0362-4331 (nytimes.com [abgerufen am 13. Juli 2016]).
- Datenschutzvereinbarung: „Da steht genauso drin: US-Recht hat Vorrang“. Maximilian Schrems im Gespräch mit Mario Dobovisek. In: Deutschlandfunk. 5. Juli 2016, abgerufen am 10. Juli 2016.
- Markus Beckedahl: Privacy-Shield: „Da steht genauso drin, US-Recht hat Vorrang“. In: netzpolitik.org. 5. Juli 2016, abgerufen am 10. Juli 2016.
- Jan Weisensee: Privacy Shield: Also wieder vor Gericht ziehen? In: netzpolitik.org. 12. Juli 2016, abgerufen am 12. Juli 2016.
- Transatlantic coalition of civil society groups: Privacy Shield is not enough – renegotiation is needed. In: EDRi. 16. März 2016, abgerufen am 28. März 2016 (englisch).
- Privacy Shield – Darstellung und rechtliche Bewertung. Netzwerk Datenschutzexpertise, 7. März 2016, abgerufen am 28. März 2016.
- Bürgerrechtler und Datenschützer lehnen Safe-Harbor-Nachfolger ab. In: Haufe.de News, Compliance. 24. März 2016, abgerufen am 28. März 2016.
- Artikel-29-Datenschutzgruppe: Opinion 01/2016 on the EU–U.S. Privacy Shield draft adequacy decision. 13. April 2016, abgerufen am 14. April 2016 (englisch).
- Axel Spies: USA-EU Privacy Shield: die Datenschutzbehörden sind nicht so ganz einverstanden. In: blog.beck.de. Abgerufen am 13. April 2016.
- Gemeinsamer Entschließungsantrag zur transatlantischen Datenübermittlung – RC-B8-0623/2016. In: www.europarl.europa.eu. Abgerufen am 19. Juni 2016.
- EU-Parlament: Privacy Shield muss überarbeitet werden. In: derStandard.at. Abgerufen am 19. Juni 2016.
- Executive Order: Enhancing Public Safety in the Interior of the United States. In: whitehouse.gov. 25. Januar 2017 (whitehouse.gov [abgerufen am 28. Januar 2017]).
- Peter Schaar: Analyse: Amerika mauert sich ein – Privacy Shield vor dem Aus? 28. Januar 2017, abgerufen am 28. Januar 2017.
- Europäisches Parlament (Hrsg.): Data Privacy Shield: MEPs alarmed at undermining of privacy safeguards in the US. 6. April 2017 (englisch, europa.eu [abgerufen am 28. Mai 2017]).
- Erstes Treffen der Europäischen Datenschutzbeauftragten in 2019. Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, 23. Januar 2019, abgerufen am 23. Januar 2019 (Pressemitteilung 1/2019).
- Adequacy of the protection of personal data in non-EU countries. In: EU-Kommission. Europäische Union, abgerufen am 18. Juli 2020 (englisch, mit weiteren Nachweisen).
- David Meyer: South Korea's EU adequacy decision rests on new legislative proposals. In: IAPP. 27. November 2018, abgerufen am 18. Juli 2020.