EU-U.S. Data Privacy Framework in Kraft getreten: Was ändert sich?
Schon lange ringen die EU und die USA um eine Linie zum Umgang mit Daten, die aus Europa auf Server in die USA gelangen. Der EuGH hat die Datenschutzvereinbarungen „Safe Harbour“ aus dem Jahr 2000 und „Privacy Shield“ aus dem Jahr 2015 für unzureichend erklärt. Nun wurde „EU-U.S. Data Privacy Framework“ ausgehandelt, das Abkommen trat am 11.7.2023 in Kraft.
Der österreichische Datenschützer Max Schrems, der schon am Scheitern der beiden vorherigen Abkommen maßgeblich beteiligt war, hat auch dagegen eine EuGH-Klage angekündigt.
Bedeutung des neuen Data Privacy Framework Abkommens
Das Abkommen soll die juristische Basis für einen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 DSGVO liefern, mit dem die EU-Kommission im Juni 2023 feststellte, dass in den USA ein ,,angemessenes Schutzniveau‘‘ herrscht und somit Datentransfers auf dortige Server unbedenklich sind.
Für die europäische Wirtschaft ist so ein Beschluss von großer Bedeutung, denn nur mit seiner Rückendeckung dürfen EU-Unternehmen personenbezogene Daten in die USA übermitteln. Das ist wichtig, um US-amerikanische Clouds zu nutzen.
Ohne einen Angemessenheitsbeschluss verlangen die Artikel 44 ff DSGVO für jeden Vorgang Einzelfallprüfungen: Es ist jeweils festzustellen, dass die Voraussetzungen für den Datenschutz auf DSGVO-Niveau gegeben sind.
Damit eine Angemessenheitsentscheidung gültig ist, muss das betreffende US-Unternehmen (Google, Microsoft, Apple & Co.) nach dem Regelwerk des EU-U.S. Data Privacy Frameworks zertifiziert sein. Dieses Zertifikat erhält es nur, wenn es sich zur Einhaltung der strengen DSGVO-Vorschriften verpflichtet.
Gefahren für das Abkommen durch eine neuerliche Schrems-Klage
Schrems könnte indes auch dieses Abkommen wieder scheitern lassen. An den Datenschutzvorschriften in den USA hat sich schließlich seit seinen Klagen gegen Privacy Shield und Safe Harbor nichts geändert. Die beiden EuGH-Urteile sind als „Schrems I“ und „Schrems II“ nachzulesen (06.10.2015, Az.: C-362/14 und 16.07.2020, Az.: C 311/18).
Das Hauptproblem in den USA besteht darin, dass die dortigen Unternehmen nicht nur relativ freie Hand im Umgang mit personenbezogenen Daten haben, sondern nach einschlägigen US-Gesetzen sogar verpflichtet sind, den US-Behörden Zugriff zu gewähren. Die Situation ist prekär und führte nach dem Scheitern der vorherigen Vereinbarungen dazu, dass die europäischen Unternehmen in ihrer praktischen Arbeit „Standardvertragsklauseln“ mit Partnern in den USA vereinbaren mussten, die das europäische Datenschutzniveau absicherten. Die US-Partner können jedoch aufgrund der Rechtslage bei ihnen daheim dieses Niveau je jure eigentlich gar nicht zusichern.
Eckpunkte im neuen Data Privacy Framework Abkommen
Ausverhandelt wurden im EU-U.S. Data Privacy Framework diese Eckpunkte, die künftige Schwierigkeiten ausräumen sollen:
- US-Nachrichtendienste dürfen nur im Interesse ihrer nationalen Sicherheit auf europäische Daten zugreifen.
- EU-Bürgern wird ein Rechtsbehelfsverfahren gewährt.
- Es gibt kostenlose unabhängige Streitbeilegungsmechanismen.
- Eine Schiedsstelle und ein DPRC (Data Protection Review Court) klären Streitigkeiten.
- Das Datenschutzabkommen wird regelmäßig überprüft, erstmalig im Juli 2024.
Experten bezweifeln indes, dass diese Maßnahmen genügen. Möglicherweise bleibt also die Hängepartie bei der transatlantischen Datenübertragung erhalten.