Die Europäische Kommission hat heute den lange erwarteten Angemessenheitsbeschluss für die neue EU-US-Datenschutzvereinbarung („EU-US Data Privacy Framework“) veröffentlicht. Der Beschluss stellt fest, dass die Vereinigten Staaten nunmehr ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die auf der Grundlage des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten also „gefahrlos“ aus der EU an US-Unternehmen, die an dem neuen Programm teilnehmen, übermittelt werden, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen.
Welche Maßnahmen sieht die neue Vereinbarung vor?
Die jetzt geltende Vereinbarung zwischen der EU und den USA führt neue verbindliche Vorgaben ein, um die vom Europäischen Gerichtshof im berühmten „Schrems II“-Urteil geäußerten Bedenken auszuräumen, einschließlich einer Beschränkung der Zugriffrechte von US-Geheimdiensten auf EU-Daten auf das „notwendige und verhältnismäßige“ Maß und sogar der Einrichtung eines unabhängigen Datenschutzüberprüfungs-„Gerichts“ (DPRC), zu dem EU-Bürger Zugang haben. Das neue Programm sieht erhebliche Verbesserungen gegenüber dem alten Mechanismus vor, der unter dem so genannten „Privacy Shield“-Programm galt. Stellt das DPRC beispielsweise fest, dass Daten unter Verstoß gegen die neuen Vorgaben erhoben wurden, kann es die Löschung der Daten anordnen.
Der neue EU-US-Datenschutzrahmen soll so einen sicheren Austausch für Daten von EU-Bürgern gewährleisten und Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Hintergrund der Entscheidung der EU-Kommission war eine Vereinbarung mit der US-Regierung, die darauf aufbauend wesentliche neue Verwaltungsvorschriften zum Schutz personenbezogener Daten von EU-Bürgern erlassen.
EU-Bürger können bestimmte Rechtsbehelfe in Anspruch nehmen, wenn ihre Daten von US-Unternehmen rechtswidrig verarbeitet werden. Darüber hinaus sehen die neuen Regelungen auf US-Seite eine Reihe von Garantien gegen den ungehemmten Zugriff von US-Behörden auf Daten vor, die auf der Grundlage des Programms übermittelt werden, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu den Daten soll auf das Maß beschränkt werden, das zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.
Wie geht es jetzt weiter?
US-Unternehmen können dem Programm nun beitreten, indem sie sich gegenüber der US-Regierung verpflichten, eine Reihe bestimmter Datenschutzregeln einzuhalten, darunter zum Beispiel die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und eine Kontinuität des entsprechenden Schutzes zu gewährleisten, wenn personenbezogene Daten wiederum an Dritte weitergegeben werden. Es ist davon auszugehen, dass die großen Anbieter wie Google und Facebook zu den ersten Unternehmen gehören, die in das Register der US-Regierung aufgenommen werden und dass über die nächsten Monate nach und nach alle relevanten Dienstleister folgen werden.
Europäische Unternehmen müssen dann nur prüfen, ob ihre Anbieter bereits dem neuen Programm unterfallen und einen entsprechenden Hinweis in ihre Datenschutzerklärung aufnehmen. Mehr ist dann tatsächlich nicht zu tun.
Wird die neue Regelung Bestand haben?
Das Funktionieren der neuen Vereinbarung soll in regelmäßigen Abständen von der Europäischen Kommission zusammen mit Vertretern der europäischen Datenschutzbehörden und der zuständigen US-Behörden überprüft werden. Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses stattfinden, um zu überprüfen, ob alle relevanten Elemente vollständig in den US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.
Es ist jedoch davon auszugehen, dass europäische Datenschutz-Aktivisten gegen die Entscheidung der EU-Kommission gerichtlich vorgehen werden – allen voran der Österreicher Max Schrems, der bereits zweimal einen Angemessenheitsbeschluss für die USA zu Fall gebracht hat. Das neue Data Privacy Framework ist aus Sicht seiner Organisation im Wesentlichen nur eine Kopie des gescheiterten Privacy-Shields, das wichtige der zuvor kritisierten Punkte vermissen lässt. Das letzte Wort hat dann wiederum der Europäische Gerichtshof. Echte Sicherheit besteht also erst nach einem entsprechenden Urteil, also in etwa zwei bis drei Jahren.