Beide Vorgänger vom EuGH gekippt
In dem neuen Abkommen gewähren die USA ein „angemessenes Schutzniveau“ für personenbezogene Daten von Verbrauchern aus der Europäischen Union. So beschreibt es die EU-Kommission in einer Erklärung. Denn: Die USA garantieren, den Zugriff von Nachrichtendiensten auf ein „notwendiges und verhältnismäßiges Maß“ zu beschränken. Außerdem soll ein eigenes Gericht geschaffen werden, an das sich einzelne Bürger bei Datenschutzverstößen wenden können. Dieser „Data Protection Review Court“ soll gegebenenfalls auch die Löschung von Daten anordnen. Auf diese Weise wolle man die Bedenken des EuGH an den beiden vorigen Vereinbarungen ausräumen, so die Kommission.
Zertifizierung für US-Anbieter
In der Praxis soll das so funktionieren: Will ein US-Unternehmen Daten aus der EU speichern oder verarbeiten, kann es dem Abkommen beitreten und muss dabei bestimmte Verpflichtungen eingehen. Dazu gehört beispielsweise das Löschen personenbezogener Daten, sobald diese nicht mehr benötigt werden. Außerdem geben die beteiligten Unternehmen Schutzgarantien für den Fall, dass die Informationen an Dritte weitergegeben werden. Verbraucher aus der EU erhalten bei eventuellen Datenschutzverstößen Unterstützung. So soll es unabhängige Streitschlichtungsmechanismen und eine Schiedsstelle geben. Beide Seiten überprüfen regelmäßig, ob die Verpflichtungen eingehalten werden.
Bedeutung für deutsche Anwender
Betroffen von der neuen Regelung sind nicht nur Unternehmen, die direkt mit Partnern in den USA zusammenarbeiten. Denn auch zahlreiche in Deutschland genutzte Dienste und Webanwendungen werden von US-amerikanischen Servern betrieben und verarbeiten dabei Daten hiesiger Nutzer. Dazu gehören beispielsweise Microsoft, Google oder diverse Clouddienste ebenso wie die großen sozialen Netzwerke. Nach dem Aus für das Abkommen „Privacy Shield“ 2020 nutzten viele US-Dienste Standardvertragsklauseln, um den geforderten Schutz europäischer Daten zu garantieren. Doch ob diese Klauseln tatsächlich einen angemessenes Schutzniveau für europäische Verbraucher sicherstellen konnten, bezweifelten viele Fachleute. Das neue Abkommen werde nun endlich Rechtssicherheit für deutsche Unternehmer bieten, heißt es beim Branchenverband Bitkom. Aber für wie lange?
Klage ist in Vorbereitung
Mehrere deutsche Datenschutzbeauftragte weisen darauf hin, dass auch das neue Abkommen über kurz oder lang vor dem EuGH landen wird. Diese Einstellung teilt der österreichische Jurist Max Schrems, der mit seinen Klagen bereits die beiden Vorgängerabkommen zu Fall gebracht hat. Und er geht noch einen Schritt weiter. Schrems ist sicher, dass auch das Data Privacy Framework vom EuGH für ungültig erklärt wird. Die grundsätzliche Problematik zum Schutz der Daten europäischer Nutzer bestehe weiterhin, solange das US-Überwachungsrecht nicht geändert werde.
Fazit
Das EU-US Data Privacy Framework ermöglicht Agenturen und Webseitenbetreibern mehr Sicherheit. Nach derzeitigem Stand sind Transfers von Daten in die USA sicher, wenn die Partnerunternehmen dem Abkommen beigetreten sind.
Absehbar ist allerdings, dass auch diese Vereinbarung zu gegebenem Zeitpunkt dem EuGH vorgelegt werden wird – mit ungewissem Ausgang.
eRecht24 Tools
Verwenden Sie Tracking, Marketing- und Analysetools aus den USA?
Der eRecht24 Datenschutz-Generator wurde für eine Reihe von Diensten im Hinblick auf das EU-US Data Privacy Framework (DPF) angepasst, sodass Sie nun Ihre Datenschutzerklärung entsprechend aktualisieren können.