EU beschließt neues Datenschutzabkommen mit den USA

Ob das Sprichwort „aller guten Dinge sind drei“ auch auf die Abkommen zum Datentransfer zwischen der EU und den USA zutrifft, muss sich noch herausstellen. Nachdem man sich mit „Safe Harbor“ und dem „Privacy Shield“ bereits zwei Mal auf ein Datenschutzabkommen geeinigt hatte und beide vom EuGH gekippt worden sind, tritt nun ein neues Abkommen in Kraft. 

Damit soll die USA durch verbindliche Garantien ein angemessenes Schutzniveau für personenbezogene Daten, die aus der EU an Unternehmen in den USA übermittelt werden, gewährleisten. Die EU-Kommission hat daher nach Art. 45 DSGVO einen Angemessenheitsbeschluss für die Datenübermittlung in die USA, das Trans-Atlantic Data Privacy Framework (kurz TADPF), erlassen. Durch einen solchen Beschluss wird festgestellt, dass ein bestimmtes Nicht-EU-Land personenbezogene Daten auf einem den europäischen Standards entsprechenden Schutzniveau sichert. Unternehmen müssen dann keine speziellen Schutzmaßnahmen mehr nach der DSGVO treffen, um europäische Daten an das jeweilige Drittland zu übermitteln. Doch Datenschützer sehen das äußerst kritisch und wollen erneut Klage einreichen. 

Abkommen scheiterte bereits zwei Mal

Vor drei Jahren scheiterte der „Privacy Shield“ als letztes Datenschutzabkommen zwischen der EU und den USA. Der EuGH monierte damals, dass das Datenschutzniveau in den USA nicht den Standards der EU entspreche. Zu weitreichend waren die Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von europäischen Bürgern. Das sorgte bei Unternehmen für eine immense Rechtsunsicherheit beim Datentransfer zwischen der EU und den USA.

Auch die vorherige Regelung „Safe Harbor“ wurde vom EuGH aus den gleichen Gründen gekippt. In beiden Fällen hatte der österreichische Jurist Max Schrems geklagt und zieht auch für das aktuelle Abkommen eine erneute Klage in Erwägung.

Neues Abkommen sei bloß eine „Kopie“ des Alten

Das neue Datenschutzabkommen soll in Zukunft die Zugriffsrechte der US-Geheimdienste beschränken. Die Geheimdienste dürfen nur noch dann auf die Daten zugreifen, wenn es notwendig und verhältnismäßig sei, verkündet die EU-Kommission. Ob der Datenschutz eingehalten wird, soll zukünftig ein dafür geschaffenes Gericht überwachen.

„Der neue EU-US-Datenschutzrahmen wird sichere Datenströme für Europäer gewährleisten und Rechtssicherheit für Unternehmen auf beiden Seiten des Atlantiks schaffen“, zitiert die Frankfurter Allgemeine EU-Kommissionspräsidentin Ursula von der Leyen. Auch solle der Rechtsrahmen nach Angaben der EU-Kommission regelmäßig überprüft werden.

Datenschützer Schrems sieht den Knackpunkt im Wort „verhältnismäßig“. Nach seiner Ansicht würden die USA dem eine andere Bedeutung zumessen als der EuGH. Die vorgeschriebenen Rechtsbehelfe würden ebenfalls nicht mit dem EU-Recht übereinstimmen und auch die Verletzung der Privatsphäre von Nicht-US-Bürgern würde von den USA in Kauf genommen werden. Letztlich sieht Schrems und dessen Datenschutzorganisation Nyob im neuen Datenschutzabkommen lediglich eine „Kopie des gescheiterten ‚Privacy Shields’“. 

Eine gerichtliche Überprüfung wird nötig sein

Vonseiten der US-Regierung gibt es Lob für das Abkommen. So bezeichnet US-Präsident Joe Biden die Ankündigung als „den Höhepunkt einer jahrelangen Zusammenarbeit zwischen den USA und der EU“. Biden weiter: „Die Entscheidung spiegelt unser gemeinsames Engagement für einen starken Datenschutz wider und wird unseren Ländern und Unternehmen auf beiden Seiten des Atlantiks größere wirtschaftliche Chancen eröffnen.“

Dass eine „dreijährige Hängepartie zu Ende geht“, befürwortet der Präsident des Digitalbranchenverbands Bitkom, Ralf Wintergerst, zwar, da nun erst einmal Rechtssicherheit für die Unternehmen geschaffen wurde. Allerdings werde auch dieses Abkommen sich wieder einer gerichtlichen Prüfung unterziehen müssen.

Achtung: Datenschutzerklärung muss aktualisiert werden

Die Änderungen haben Auswirkungen auf die Datenschutzerklärungen von Online-Shops, Präsentationsseiten und Blogs und Foren, sofern darüber Daten der Websitebesucher in die USA übermittelt oder dort verarbeitet werden. Auch die Inhalte der Datenschutzerklärung der Unternehmensseiten auf den Social Media Kanälen sind betroffen. Die Datenschutzerklärungen der Händlershops auf den Plattformen wie Ebay und Amazon sind davon allerdings nicht betroffen. Händler:innen müssen die Datenschutzerklärung auf allen betroffenen Internetpräsenzen jetzt austauschen. Ab sofort können Mitglieder im Login-Bereich des Händlerbunds die aktualisierte Datenschutzerklärung downloaden.