Ist es das nun? Datenschutzabkommen EU-US Data Privacy Framework in Kraft
Es gibt (mal wieder) ein neues Datenschutzabkommen mit den USA: Das „EU-US Data Privacy Framework“ ist am 10. Juli in Kraft getreten. Es tritt die Nachfolge der ersten beiden vor Gericht gescheiterten Versuche – Safe Harbour und Privacy Shield – an, die Übertragung personenbezogener Daten zwischen der Europäischen Union und USA rechtssicher zu gestalten.
Wie seine Vorgänger soll mit dem EU-US Data Privacy Framework sichergestellt werden, dass die Daten von Europäern in den USA genauso geschützt werden wie auf dem Heimatkontinent. Gerichte hatten in der Vergangenheit geurteilt, dass weder Safe Harbour noch Privacy Shield das leisteten. Ein Hauptproblem: Einen vergleichbaren Schutz personenbezogener Daten in den USA wie in der EU können US-amerikanische Unternehmen schon deshalb kaum garantieren, weil sie laut heimischem Gesetz Geheimdiensten Zugang zu den Daten geben müssen. Darunter auch die von Europäern. Dem will das neue Abkommen nun mit der Regelung begegnen, dass die US-Geheimdienste nur dann Einblicke in personenbezogene Daten bekommen, wenn es der nationalen Sicherheit der USA dient. In der Regelung heißt es, dass das „notwendig und verhältnismäßig“ sein muss.
Wozu braucht es ein Abkommen zwischen USA und EU?
Die Vereinbarung ist die Voraussetzung für einen sogenannten Angemessenheitsbeschluss der EU-Kommission, mit dem sie offiziell feststellen kann, dass ein Land für die Datenübermittlung ein angemessenes Schutzniveau sicherstellt, das dem der Europäischen Union entspricht. Nur unter dieser Voraussetzung können personenbezogene Daten rechtssicher ins Ausland übermittelt werden, ohne dass es eines zusätzlichen Schutzes bedarf. Das stellt vor allem für Unternehmen eine deutliche rechtliche und organisatorische Erleichterung im Datenaustausch mit anderen Ländern dar. Datenübermittlungen an US-Unternehmen sind nun ohne zusätzliche Anforderungen möglich, wenn sich das US-Unternehmen zertifiziert hat.
Apropos Zertifizierung: Der Angemessenheitsbeschluss führt nicht automatisch dazu, dass an alle US-amerikanischen Unternehmen Daten ohne EU‑Standardvertragsklauseln oder andere Datenübertragungsmechanismen übermittelt werden dürfen: Sie benötigen gemäß EU-US Data Privacy Framework eine entsprechende Zertifizierung, mit der sichergestellt werden soll, dass personenbezogene Daten ähnlich wie in der EU-DSGVO behandelt und geschützt werden.
Zudem haben EU-Bürger die Möglichkeit, gegen die Übertragung ihrer personenbezogenen Daten an die US-amerikanischen Nachrichtendienste vorzugehen – dafür wird eigens ein „Data Protection Review Court“ geschaffen, das die Geheimdienste sogar anweisen kann, erhobene Daten zu löschen.
Datenschützer haben im Übrigen bereits angekündigt, auch gegen dieses Abkommen gerichtlich vorzugehen. Wir behalten es im Auge.