Datenschutz: Datentransfer zwischen EU und den USA | Compliance

Haufe Online Redaktion

Datenschutz: Datentransfer zwischen EU und den USA — Bild: Haufe Online Redaktion

Neues Datenschutzabkommen zwischen EU und USA tritt in Kraft und soll Rechtssicherheit beim transatlantischen Datentransfer schaffen. Trotz Optimismus einiger Branchen haben Datenschützer und EU-Parlamentarier bereits Kritik geäußert und rechtliche Schritte gegen das Abkommen angekündigt.

Vor drei Jahren hatte der Europäische Gerichtshof (EuGH) das geltende Datenschutzabkommen „Privacy Shield“ zwischen der EU und den USA mit der Begründung gekippt, dass das Datenschutzniveau in den USA nicht den europäischen Standards entspreche. Mit dem Angemessenheitsbeschluss der EU-Kommission ist nun ein neues Abkommen in Kraft getreten, das für Rechtssicherheit beim transatlantischen Datentransfer sorgen soll. Datenschützer haben bereits rechtliche Schritte gegen das neue Abkommen angekündigt.

EU-Kommission sieht angemessenes Schutzniveau für personenbezogene Daten

Die EU-Kommission hat einen neuen Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA (engl. EU-US Data Privacy Framework) erlassen. Im Beschluss ist festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten aus der EU an US-Unternehmen übermittelt werden, die am Rahmen teilnehmen, ohne dass zusätzliche Datenschutzgarantien eingeführt werden müssen.

US-Unternehmen können sich dem Datenschutzrahmen EU-USA anschließen, indem sie die Einhaltung detaillierter Datenschutzpflichten garantieren. Sie verpflichten sich z. B. dazu, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und dafür zu sorgen, dass der Fortbestand des Schutzes auch dann gewährleistet ist, wenn personenbezogene Daten an Dritte weitergegeben werden.

EU-Bürgerinnen und -Bürgern stehen außerdem mehrere Rechtsbehelfe offen, falls ihre Daten von US-Unternehmen nicht ordnungsgemäß behandelt werden. Dazu gehören kostenlose unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle.

Der neue US-Rechtsrahmen sieht auch bestimmte Garantien für den Zugang von US-Behörden zu innerhalb des Rahmens übermittelten Daten vor, insbesondere für Datenzugriffe zum Zwecke der Strafverfolgung und der nationalen Sicherheit. In den Augen der EU-Kommission ist der Datenzugang auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt.

Kritik von Datenschützern und EU-Parlamentariern

Die Reaktionen auf das neue Datenschutzabkommen schwanken zwischen verhaltenem Optimismus und harscher Kritik. So ist der Präsident des Branchenverbands der deutschen Informations- und Telekommunikationsbranche Bitkom, Dr. Ralf Wintergeist, zwar froh, dass mit dem neuen Abkommen eine „dreijährige Hängepartie zu Ende geht“ und wieder Rechtssicherheit einkehrt, von der vor allem kleine und mittlere Unternehmen profitieren. Gleichzeitig warnt er aber davor, dass „die nun gefundene Neuregelung erneut von den Gerichten überprüft werden wird“. Treibende Kraft ist dabei der österreichische Jurist Max Schrems, der zusammen mit seiner Datenschutzorganisation noyb (None of Your Business) bereits die beiden Vorgängerabkommen „Safe Harbor“ und „Privacy Shield“ vor dem EuGH zu Fall gebracht hat.

Aus Sicht von Max Schrems und noyb ist das neue Datenschutzabkommen weitgehend eine Kopie des gescheiterten „Privacy Shield“-Abkommens. Anders als von der Europäischen Kommission behauptet, würde sich am US-Recht nur wenig ändern. Nach wie vor hätten nur „US-Personen verfassungsmäßige Rechte“ und dürften nicht anlasslos überwacht werden. noyb werde daher die Entscheidung dem EuGH vorlegen.

Harsche Kritik kommt auch aus der Politik. Selbst EU-Parlamentarier halten das neue Abkommen für einen „Blankoscheck der EU für den transatlantischen Datentransfer“. Der Digitalisierungsexperte und FDP-Europaabgeordnete Moritz Körner stellt fest: „Von der Leyen ist EU-Recht endgültig egal. Sie weiß, dass das neue Abkommen vor dem EuGH scheitern wird.“

Alte Zertifizierung gelten vorerst weiter

Die praktische Konsequenz des neuen Abkommens für betroffene Unternehmen ist, dass vorhandene Zertifizierungen nach dem „Privacy Schield“-Abkommen grundsätzlich weiter gelten. Laut Annex I, Ziffer III 6 lit. e des Beschlusses müssen nach dem Privacy Shield zertifizierte Unternehmen lediglich ihre Privacy Policies dahingehend ändern, dass sie auf den neuen Datenschutzrahmen verweisen. Dies muss spätestens drei Monate nach Inkrafttreten des neuen Angemessenheitsbeschlusses geschehen.

Das neue Abkommen verschafft dem transatlantischen Datentransfer eine kurze Zeit der Rechtssicherheit, die mit dem Urteil des EuGH voraussichtlich bereits im kommenden Jahr vorbei sein könnte.

Links:

Meistgelesene beiträge

Neueste beiträge

32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024

Neues Datenschutzabkommen zwischen EU und USA ist in Kraft

EU-Kommission sieht angemessenes Schutzniveau für personenbezogene Daten

Kritik von Datenschützern und EU-Parlamentariern

Alte Zertifizierung gelten vorerst weiter