Das EU-US Data Privacy Framework ist da! #DATENSCHUTZ #DSGVO

Das EU-US Data Privacy Framework ist bereits der dritte Versuch, personenbezogene Daten europäischer Bürger:innen rechtmäßig an Unternehmen und Organisationen in den USA als Drittland zu übermitteln.

Vorausgegangen sind bereits das Abkommen Safe Harbor und Privacy Shield. Beide wurden vom Europäischen Gerichtshof für ungültig erklärt, da sie nicht den Datenschutzstandards der EU entsprechen. Geklagt hatte in beiden Fällen der österreichische Jurist Max Schrems, dessen Hauptkritikpunkt war, dass die US-Geheimdienste weitreichende Zugriffsmöglichkeiten auf Daten von Europäer:innen hatten. Auch den dritten Anlauf zum Datenschutzabkommen kritisiert Schrems scharf und kündigt eine weitere Klage an. Im Wesentlichen sei das Data Privacy Framework eine schlichte Kopie des bereits gekippten Privacy Shields.

Die EU-Kommissionspräsidentin Ursula von der Leyen sieht hingegen einen großen Erfolg in ihren Verhandlungen mit den USA. Sie erklärt: „Der neue Datenschutzrahmen EU-USA wird einen sicheren Datenverkehr für die Europäerinnen und Europäer gewährleisten und den Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Nach der grundsätzlichen Einigung, die ich im vergangenen Jahr mit Präsident Biden erzielt habe, haben die USA beispiellose Zusagen zur Schaffung des neuen Rahmens gemacht. Heute kommen wir einen wichtigen Schritt dabei voran, den Bürgerinnen und Bürgern Vertrauen in die Sicherheit ihrer Daten zu geben, unsere wirtschaftlichen Beziehungen zwischen der EU und den USA zu vertiefen und gleichzeitig unsere gemeinsamen Werte zu stärken. Der Rahmen zeigt, dass wir durch Zusammenarbeit die komplexesten Fragen angehen können.“

Mit den neuen Regelungen führen die USA verbindliche Garantien ein, um die zuvor vom EuGH geäußerten Bedenken auszuräumen. Es sei nun ein angemessenes Schutzniveau für personenbezogene Daten, die aus der EU an US-Unternehmen übermittelt werden, gewährleistet. So sollen US-Geheimdienste beispielsweise nur noch auf Daten zugreifen können, wenn es für die nationale Sicherheit notwendig und verhältnismäßig ist. Max Schrems sowie auch die Datenschutzbehörde Baden-Württemberg weisen darauf hin, dass die Definition von “notwendig” und “verhältnismäßig” in den USA sowie der EU eine andere sei. Auch sei die Verletzung der Privatsphäre von nicht-US-Bürger:innen Amerika egal.

Des Weiteren soll ein Gericht zur Überprüfung des Datenschutzes eingerichtet werden. Der Data Protection Review Court soll in einem zweistufigen Beschwerdeverfahren unter anderem als Rechtsbehelf für einzelne Europäer:innen fungieren, deren Daten von US-Unternehmen nicht ordnungsgemäß behandelt wurden. Stellt das Gericht einen Verstoß gegen das Datenschutzabkommen fest, kann es eine Löschung der Daten beantragen. Inwiefern dies eine angemessene Handhabung und ausreichende Entschädigung für Betroffene von Datenschutzverstößen ist, sei dahingestellt. Auch Max Schrems sagt, dass die amerikanischen Rechtsbehelfe nicht mit denen der Europäischen Union übereinstimmen. Dazu zählen auch kostenlose und unabhängige Streitbeilegungsmechanismen, die Betroffene nutzen könnten.

Es gibt jedoch auch positive Stimmen zum Data Privacy Framework. Ralf Wintergast, Präsident des Digitalverbandes Bitkom, lobt das Abkommen: “Eine dreijährige Hängepartie geht zu Ende.” Unternehmen erhielten nun wieder Rechtssicherheit und vor allem kleine und mittlere Unternehmen profitieren von dem Data Privacy Framework, da nun keine Einzelfallprüfungen mehr stattfinden müssen, ob Daten übergeben werden dürfen oder nicht. Dies gilt jedoch nur, wenn Daten an zertifizierte Unternehmen und Organisationen übermittelt werden. Und auch Wintergast rechnet damit, dass das EU-USA Data Privacy Framework beklagt wird.

Mit dem Framework ist zunächst also die Übermittlung personenbezogener Daten an Unternehmen in den USA gestattet, die zertifiziert sind. US-Unternehmen können sich dem EU-USA Datenschutzrahmen anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzrichtlinien verpflichten. Dazu gehört zum Beispiel, dass sie personenbezogene Daten löschen, wenn sie für den Zweck, zu dem sie erhoben wurden, nicht mehr benötigt werden. Wie genau Unternehmen die entsprechenden Datenschutzmaßnahmen umsetzen, ist dabei ihnen selbst überlassen. Das US-Handelsministerium hat bereits eine Liste mit entsprechenden Unternehmen veröffentlicht. Nicht-zertifizierte Unternehmen müssen weiterhin im Einzelfall geprüft werden.

Die Funktionsweise des neuen Datenschutzabkommens soll regelmäßig von unterschiedlichen Datenschutzinstanzen kontrolliert werden. Die erste Prüfung soll binnen eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses erfolgen, um zu ermitteln, ob alle einschlägigen Elemente vollständig im US-Rechtsrahmen umgesetzt werden und in der Praxis wirksam funktionieren.

Fraglich bleibt, warum Ursula von der Leyen einem Abkommen zugestimmt hat, bei dem sogar Fürsprecher davon ausgehen, dass es einer Klage nicht standhält. Diese Kritik kommt auch verstärkt aus politischen Reihen. “Von der Leyen ist EU-Recht endgültig egal. Sie weiß, dass das neue Abkommen vor dem EuGH scheitern wird”, sagte Europaabgeordneter Moritz Körner (FDP). Die Kosten für die Prozesse vor dem Europäischen Gerichtshof wurden bereits zweimal von Europäer:innen getragen und werden, so wie es jetzt aussieht, auch ein drittes Mal von den Bürger:innen gezahlt werden müssen.

Auch wenn der EU-US Data Privacy Framework gerade erst in Kraft getreten ist, empfehlen deutsche Behörden und Datenschutzinstitute, die Bestrebungen zur Digitalen Souveränität weiter voranzutreiben, um beispielsweise beim Tracking Ihrer Websitedaten nicht auf amerikanische Dienste angewiesen zu sein. Sie brauchen Unterstützung bei der Wahl des richtigen Tools? Wir beraten Sie gerne!

Let´s get in Touch!

Quellen: