Neues Datenschutzabkommen zwischen EU und USA in Kraft 

Die EU-Kommission verabschiedete ein neues Datenschutzabkommen zwischen der EU und den USA, nachdem es drei Jahre zuvor zum Aus des „Privacy Shield“ kam. Laut EU-Kommission sorge die USA nun mittels verbindlicher Garantien für ein angemessenes Schutzniveau, wenn personenbezogene Daten aus der EU an Unternehmen in Amerika übermittelt werden.  

Vorgeschichte  

Nachdem Safe-Harbor-Urteil im Jahre 2015 hatten die EU-Kommission und die USA ein Nachfolgeprogramm beschlossen, welches als „EU/US Privacy Shield“ bezeichnet wurde. Das Privacy Shield Abkommen, welches am 12. Juli 2016 beschlossen wurde, war eine informelle Absprache zwischen den USA und der EU, die die Erfüllung europäischer Datenschutznormen bei Datenübermittlungen in die USA gewährleisten sollte. 

Im Juli 2020 kippte der EuGH in seinem „Schrems II Urteil“ dann das Privacy Shield Abkommen mit der Begründung, dass das Datenschutzniveau in den USA nicht den datenschutzrechtlichen Standards der EU entspreche. Die Richter kritisierten die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von Europäern.  

Das Aus des Privacy Shield Abkommens sorgte für ein Rechtsvakuum, welches für große Unsicherheit hinsichtlich eines Datentransfers zwischen der EU und den USA sorgte. So musste jedes Unternehmen mangels Angemessenheitsbeschlusses der EU-Kommission zur Datenübermittlung in die USA selbst evaluieren, wie es die Einhaltung der Datenschutzgrundverordnung bei dem Versenden von Daten in die USA gewährleisten kann. Daran änderten auch die neu vereinbarten Standardvertragsklauseln nichts, die eine Datenübermittlungen in die USA für sich allein genommen nicht wirksam erlauben konnten. 

Mit dem neuen Datenschutzabkommen soll der Rechtsunsicherheit ein Ende gesetzt werden. 

Das neue Datenschutzabkommen  

Mit dem neuen Abkommen hat die EU-Kommission ein Angemessenheitsbeschluss im Sinne von Art. 45 DSGVO getroffen, mit dem das Rechtsvakuum nach dem Scheitern des Privacy Shields beendet werden soll. Angemessenheitsbeschlüsse im Sinne von Art. 45 DSGVO bieten eine umfassende Legitimation für Datenübermittlungen und entfalten zudem unmittelbare Wirkung, weshalb Datenübermittlungen keiner besonderen aufsichtsbehördlichen Genehmigung bedürfen.  

Aber welche Neuregelungen enthält das neue Abkommen, das es gegenüber dem Privacy Shield Abkommen im Hinblick auf den Datentransfer in die USA sicherer macht? 

Das neue Abkommen nimmt sich der Kritik aus dem „Schrems II Urteil“ an und schränkt die Zugriffsmöglichkeiten von US-Geheimdiensten ein. Künftig ist den US-Geheimdiensten der Zugriff auf die Daten nur dann erlaubt, wenn es laut EU-Kommission notwendig und verhältnismäßig sei. Darüber hinaus soll ein Gericht zur Überprüfung des Datenschutzes eingerichtet werden. Zu diesem Data Protection Review Court sollen Einzelpersonen in der EU Zugang haben. Laut Mitteilung der Kommission sollen dort eingehende Beschwerden unabhängig untersucht und beigelegt werden, unter anderem durch die Anordnung verbindlicher Abhilfemaßnahmen. 

Fazit 

Mit dem neuen Datenschutzabkommen hat die EU ein Angemessenheitsbeschluss bezüglich des Datentransfers zwischen der EU und den USA getroffen. Insofern könnte Rechtssicherheit bezogen auf den Datentransfer zwischen EU und USA vorliegen.  

Allerdings ist fraglich, ob das neue Abkommen einer gerichtlichen Überprüfung standhält. So kritisierte die Datenschutzorganisation Noyb des österreichischen Juristen Max Schrems, der zuvor erfolgreich gegen das Privacy Shield Abkommen und dessen Vorgänger Safe Harbor erfolgreich klagte, das neue Datenschutzabkommen und kündigte Klage an. Die Organisation sieht in dem neuen Abkommen lediglich eine Kopie des Privacy Shield Abkommens, die mit dem EU-Recht nicht zu vereinbaren sei. Schrems kritisierte, dass die USA dem Wort “verhältnismäßig” eine andere Bedeutung beimessen würden als der EuGH. Außerdem stelle die Verletzung der Privatsphäre von Nicht-US-Bürgern kein Problem für die USA dar. Auch die vorgeschriebenen Rechtsbehelfe stimmen seiner Meinung nach nicht mit EU-Recht überein. 

Es bleibt also weiterhin spannend, ob der Datentransfer zwischen der EU und den USA gesichert ist oder eben nicht. Ein Ende der Saga ist noch nicht in Sicht.