Künftig sollen die Daten zwischen der EU und den USA einfacher und sicherer fließen können als zuletzt: EU-Kommissionspräsidentin Ursula von der Leyen (CDU) hat nach einem Gespräch mit US-Präsident Biden die grundsätzliche Einigung über ein neues Abkommen bekannt gegeben. Das zuvor geltende Privacy Shield war 2020 durch den EuGH für ungültig erklärt worden. Seither wird die Datenübertragung meist über sogenannte Standardvertragsklauseln abgewickelt.
Datenübermittlung in die USA – Große Bedeutung für den E-Commerce
Die Übertragung von personenbezogenen Daten in die USA ist für viele Online-Händler ein Thema, und das besonders aus zwei Gründen: Einerseits sitzen diverse, häufig genutzte Dienstleister auf der anderen Seite des Atlantiks, andererseits herrschte in der Vergangenheit viel Bewegung in Sachen Zulässigkeit solcher Datenübertragungen. Zuletzt hatte der Europäische Gerichtshof in der Sache Schrems II dem bis dahin als Grundlage dienenden Abkommen, dem Privacy Shield, 2020 eine Absagte erteilt.
Grund dafür war, dass das europäische Datenschutzniveau bei der Übermittlung in die USA nicht eingehalten werden konnte. Die in den USA bestehenden Regelungen bieten Sicherheitsbehörden weitreichende Befugnisse zur Überwachung auch der ausländischen Daten. Effektive Rechtsschutzmöglichkeiten für europäische Betroffene gibt es nicht im ausreichenden Maße. Auch seien die Überwachungsmöglichkeiten US-amerikanischer Behörden nicht auf das erforderliche Maß beschränkt, vielmehr wird angesichts etwa des Cloud Acts mitunter von Massenüberwachung gesprochen.
DSGVO: Wann dürfen Daten in Drittländer übermittelt werden?
Grundsätzlich dürfen personenbezogene Daten nach europäischem Recht nur dann in ein Drittland übermittelt werden, wenn dort ein angemessenes Schutzniveau gegeben ist. In der Umsetzung gibt es verschiedene Wege: Etwa kann die Kommission mit einem Beschluss „einfach“ festlegen, dass das Schutzniveau ausreichend ist. Das hatte sie mit dem Privacy Shield zu unternehmen versucht – es scheiterte aber eben an den realen Gegebenheiten. Für anderen Staaten bestehen solche Beschlüsse jedoch.
Liegt kein Angemessenheitsbeschluss vor, besteht eine weitere Möglichkeit, die Datenübermittlung in einen Drittstaat auf ein datenschutzrechtliches Fundament zu stellen: Hierbei muss der für die Datenverarbeitung Verantwortliche „geeignete Garantien“ vorgesehen haben. Hierzu gehören die aktuell häufig verwendeten Standarddatenschutzklauseln, welche von der Kommission erarbeitet wurden. Zugleich müssen der von der Datenverarbeitung betroffenen Person durchsetzbare Rechte und Rechtsbehelfe zur Verfügung stehen. Ob die Klauseln ausreichen, ist prinzipiell von den Datenschutzbehörden zu prüfen.
Versprochen wird Abhilfe – eine konkrete Lösung gibt es aber noch nicht
Die vom EuGH vorgebrachten Bedenken im Hinblick auf die Datenübertragung in die USA sollen der Mitteilung der Kommission zufolge ausgeräumt werden. Das neue Rahmenwerk markiere eine beispiellose Verpflichtung auf der Seite der USA: Demnach müssten Reformen umgesetzt werden, die den Schutz der Privatsphäre und der bürgerlichen Freiheiten im Hinblick auf Überwachungs- bzw. Aufklärungsaktivitäten stärken. Auch müsse mit den Anpassungen sichergestellt werden, dass etwaige Überwachungsmaßnahmen zur Verfolgung von nationalen Sicherheitszielen notwendig und verhältnismäßig sind. Geschaffen werden soll außerdem ein Mechanismus für Rechtsbehelfe. Versprochen wird eine verlässliche Grundlage für die Datenübermittlung mit positiven Auswirkungen auf die digitale Wirtschaft.
Konkrete Informationen allerdings gibt es noch nicht, genauso wenig wie einen Entwurf oder juristische Eckdaten der Vereinbarung. Was es gibt, ist ein Faktenblatt der Kommission – und Kritik. Die Zugeständnisse an das europäische Datenschutzniveau aufseiten der USA sollen offenbar lediglich durch eine Durchführungsverordnung umgesetzt werden, nicht durch Änderungen der Überwachungsgesetze – mit der Folge, dass die Rechte ggf. nicht einklagbar sind. Die von Juristen und Aktivisten gegründete Datenschutzorganisation Noyb beklagt, dass die EU und die USA die Situation nicht genutzt hätten, um ein echtes „‘No-Spy‘-Abkommen mit Basisgarantien unter gleichgesinnten Demokratien“ zu schaffen. Kunden und Unternehmen würden gegebenenfalls weitere Jahre der Rechtsunsicherheit drohen.
Kommentar schreiben