Neues Datenschutz-Abkommen zwischen USA und EU in Sicht
Erste Schritte zum Nachfolger des "Privacy Shield"
Biden verspricht besseren Schutz vor dem Zugriff durch US-amerikanische Geheimdienste auf die Daten von EU-Bürgern. Doch es bleiben Zweifel, ob diesmal das von der EU geforderte Datenschutzniveau erreicht wird.
Am letzten Freitag hat US-Präsident Biden ein Dekret für ein neues Datenschutzabkommen zwischen den USA und der EU unterzeichnet. Dieser Erlass sieht neben strengeren Vorgaben für den Zugang von Geheimdiensten zu den Daten von EU-Bürgern insbesondere auch Mechanismen vor, wie sich EU-Bürger über einen aus ihrer Sicht widerrechtlichen Zugriff beschweren können.
Bislang kein gleichwertiges Datenschutzniveau in den USA
Die US-Amerikaner genießen in Europa ohnehin keinen guten Ruf im Hinblick auf den Umgang mit persönlichen Daten. Edward Snowden hat bereits vor Jahren enthüllt, dass US-Geheimdienste und andere US-Ermittlungsbehörden umfangreichen Zugriff auf Daten ausländischer Nutzer haben. Zu ähnlichen Ergebnissen kam auch der EuGH.
Nachdem 2015 bereits das im Jahr 2000 beschlossene Datenschutzabkommen „Safe Harbor“ für ungültig erklärt wurde, kippte der EuGH im Juli 2020 auch den Nachfolger „Privacy Shield“.
In diesem Verfahren ging es um den Transfer der Daten europäischer Facebook-Nutzer in die USA. Hierzu stellte das Gericht klar, dass grundsätzlich immer geprüft werden müsse, ob im Zielland der Daten - hier also in den USA - ein gleichwertiges Schutzniveau bestehe. Dies sei nach Ansicht des Gerichtes jedoch nicht der Fall, die Daten der Nutzer seien in den USA wesentlich weniger geschützt als es die EU vorsehe.
Überwachung nur noch im Sinne der nationalen Sicherheit
Diesem Schutzniveau versuchen sich die Amerikaner nun anzunähern. Nach dem Erlass von Joe Biden soll eine Überwachung von Datenströmen durch die US-Geheimdienste künftig nur noch für das Erreichen von „definierten Zielen der Nationalen Sicherheit“ erfolgen dürfen. Dabei sollen die „Privatsphäre und die bürgerlichen Freiheitsrecht“ aller Menschen – also unabhängig ihrer Nationalität und ihres Wohnortes – berücksichtigt werden.
Schutzmechanismen für EU-Bürger
Eine weitere Neuheit ist die Schaffung von Schutzmechanismen, mit denen sich EU-Bürger gegen die Überwachung wehren können. Hier sieht der Erlass ein zweistufiges System vor. Auf der ersten Stufe soll ein „Beamter zum Schutz der bürgerlichen Freiheitsrechte“, der beim Direktorat der US-Geheimdienste angesiedelt sein soll, Beschwerden von EU-Bürgern prüfen. Die Entscheidungen dieses Beamten soll im zweiten Schritt dann ein besonderes unabhängiges Gericht überprüfen.
Weiterhin Rechtsunsicherheit für Unternehmen
Nachdem der EuGH das "Privacy Shield" 2020 gekippt hatte, war Unternehmen beim Datentransfer zwischen den USA und der EU erhebliche Rechtsunsicherheit entstanden. Der Transfer personenbezogener Daten in die USA ist seither nur unter speziellen Ausnahmen zulässig. Insbesondere der Social-Media Riese Meta (Facebook, Instagram, WhatsApp etc.) beklagte, dass der Dienst in Europa notfalls eingestellt werden müsse, wenn es kein neues -rechtssicheres- Abkommen gebe.
An dieser Unsicherheit ändert der Erlass erstmal noch nichts. Zunächst muss die EU-Kommission das Dekret prüfen. Mit der tatsächlichen rechtlichen Umsetzung ist vor Frühjahr/Sommer 2023 nicht zu rechnen. Und auch dann ist fraglich, ob das neue Abkommen vor dem EuGH statthalten wird. Datenschützer melden bereits jetzt erste Zweifel an.
Grund zum Aufatmen gibt es für die betroffenen Unternehmen also noch nicht. Grundsätzlich sollten Unternehmen beim Umgang mit personenbezogenen Daten vorsichtig sein, um keine datenschutzrechtlichen Verstöße zu riskieren. Das gilt umso mehr, wenn die Daten außerhalb der EU verarbeitet und verwertet werden sollen.