Das EU-US Privacy Shield, das nach einem Durchführungsbeschluss der EU-Kommission am 1. August 2016 in Kraft getreten ist, soll rechtliche Klarheit für Unternehmen der Europäischen Union und der Schweiz bei der Übermittlung personenbezogener Daten in die USA bringen. Nach der inzwischen außer Kraft gesetzten EU-Richtlinie 95/46/EG und der seit 25.05.2018 geltenden Art. 44 und 45 DSGVO dürfen personenbezogene Daten nur dann in ein Drittland übermittelt werden, wenn dort ein angemessenes Schutzniveau sichergestellt ist. Die USA gilt als ein solches "unsicheres" Drittland. Datenübermittlungen an US-Unternehmen, die nach den Vorgaben des EU-US Privacy Shields zertifiziert sind, bedürfen somit keiner besonderen Genehmigung. Die Liste der International Trade Administration (ITA), einer nachgeordneten Behörde des US-Handelsministeriums, umfasst mittlerweile über 5.000 zertifizierte US-Unternehmen. Das Vorgänger-Modell "Safe Harbor" wurde aufgrund einer Klage des Datenschutzaktivisten Maximilian Schrems vom EuGH am 6. Oktober 2015 ( Az.: C-362/14) für unwirksam erklärt.
Einer der Kritikpunkte des Privacy Shields ist die Selbstzertifizierung der Unternehmen. Es findet keine Prüfung durch eine unabhängige Stelle statt. Im Gegensatz zu Safe Harbor drohen zertifizierten US-Unternehmen Sanktionen, wenn die Selbstverpflichtungen nicht eingehalten werden. Ein weiterer Kritikpunkt ist der staatliche Zugriff auf gespeicherte Daten durch die US-amerikanische Gesetzgebung (z.B. dem USA PATRIOT ACT). Es gibt laut Angaben der EU-Kommission eine schriftliche Zusicherung der US-Regierung, dass künftig der Zugriff auf personenbezogene Daten von EU-Bürgern mit deutlichen Beschränkungen und Kontrollen unterliegen werde. Eine verbindliche vertragliche Regelung existiert jedoch nicht.
Aus der nunmehr dritten jährlichen Überprüfung des EU-US Privacy Shields durch die EU-Kommission wird von Fortschritten bei den Kritikpunkten berichtet. Als positiver Aspekt wird die Ernennung von Keith Krachs als Ombudsmann erwähnt. Ebenso wird gelobt, dass inzwischen stichprobenhaft die Einhaltung des Abkommens kontrolliert werde. Als Verbesserungen wurden unter anderem die Kontrollen der Einhaltung der materiellen Anforderungen, der Umfang von Kontrollen und die Erleichterung für eine Rezertifizierung empfohlen.
Am 12. Dezember wird die Stellungnahme des EU-Generalanwalts zum Vorabentscheidungsersuchen des High Court von Irland erwartet. Das bindende Urteil des EuGH wird einige Wochen später erwartet. Maximilian Schrems geht davon aus, dass das Privacy Shield vom EuGH für unwirksam erklärt wird.