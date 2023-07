Mehrere Anläufe der EU für einen Datenaustausch sind in der Vergangenheit am Europäischen Gerichtshof gescheitert. Jetzt gibt es einen neuen Versuch

Die Europäische Kommission startet einen neuen Versuch, Unternehmen den Datentransfer in die USA zu erleichtern. imago/Gerhard Leber

Im Gastbeitrag erklärt Jurist Hellmut Buchroithner, warum der Datentransfer von der EU in die USA künftig wieder leichter wird.

Vor drei Jahren wurde der EU‑US‑Privacy Shield durch das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) für ungültig erklärt. Seitdem bedeutete für viele europäische Unternehmen die Übermittlung von personenbezogenen Daten in die USA ein erhebliches Risiko, begleitet von möglicherweise hohen Bußgeldern bei Verstößen.

Dieses Risiko dürfte nun mit der Annahme des neuen Angemessenheitsbeschlusses durch die Europäische Kommission seit 10. Juli 2023 zumindest vorläufig ein Ende haben (der „Datenschutzrahmen EU-USA“). Diese Nachricht ist erfreulich, da bisher rechtlich unsichere Maßnahmen wie Standardvertragsklauseln bei der Datenübermittlung in die USA nun nicht mehr notwendig sind – dennoch besteht Unsicherheit über die dauerhafte Stabilität des Beschlusses.

Der Datenschutzrahmen EU-USA als Grundlage

Mit dem neuen Angemessenheitsbeschluss wird festgelegt, dass die USA ein mit jenem der EU vergleichbares, angemessenes Schutzniveau für personenbezogene Daten gewährleistet. Dieses Schutzniveau soll insbesondere durch neu eingeführte und verbindliche Garantien des Datenschutzrahmens EU-USA hergestellt sein. Die verbindlichen Garantien sehen die Beschränkung des Zugriffs von US-Geheimdiensten auf EU-Daten auf ein notwendiges und verhältnismäßiges Maß sowie die Einrichtung eines Datenschutzprüfungsgerichts (des sogenannten Data Protection Review Court) vor, zu dem auch Einzelpersonen aus der EU Zugang haben.

Der Datenschutzrahmen EU-USA zielt darauf ab, alle vom EuGH im Rahmen des Schrems-II-Urteils geäußerten Bedenken hinsichtlich des Datenschutzniveaus in den USA zu beseitigen. Dies wird jedoch bereits von verschiedenen Seiten, insbesondere auch von der österreichischen Bürgerrechtsorganisation Noyb, infrage gestellt. Befürchtet wird, dass der neue Datenschutzrahmen weitgehend nur eine Kopie des gescheiterten "Privacy Shield" darstellt. Auch hat der Europäische Datenschutzausschuss (EDSA) in seiner Stellungnahme vom 28. Februar 2023 bereits Bedenken zu einigen Aspekten des damaligen Entwurfs des Datenschutzrahmens EU-USA geäußert, wie beispielsweise das Fehlen wichtiger Definitionen und unklarer Ausnahmen in Bezug auf Grundsätze.

Auswirkungen des Angemessenheitsbeschlusses

Auf Basis des neuen Angemessenheitsbeschlusses dürfen personenbezogene Daten rechtssicher an US-Unternehmen, die sich dem Datenschutzrahmen EU-USA angeschlossen haben, übermittelt werden, ohne dass weitere datenschutzrechtliche Sicherheitsmaßnahmen getroffen werden müssen. Dies macht Standardvertragsklauseln obsolet, sofern sich das empfangende US-Unternehmen dem Datenschutzrahmen der EU-USA angeschlossen und sich zur Einhaltung der Datenschutzmaßnahmen verpflichtet hat, wozu auch die Pflicht gehört, personenbezogene Daten zu löschen, sobald kein Verwendungszweck mehr besteht.

Das bedeutet zum Beispiel für europäische Webseitenbetreiber, dass Tools wie Google Analytics, die zu einer Übermittlung personenbezogener Daten in die USA führen können, wieder ohne gesonderte datenschutzrechtliche Sicherheitsmaßnahmen eingesetzt werden können. Dies freilich unter der Prämisse, dass sich das entsprechende Unternehmen zur Einhaltung des Datenschutzrahmens EU-USA verpflichtet hat.

Der neue Angemessenheitsbeschluss der EU-Kommission bedeutet angesichts der Datenschutzunsicherheiten der letzten Jahre zwar mehr Rechtssicherheit, es ist jedoch zu erwarten, dass jene Stimmen wieder lauter werden, die den Datenschutzrahmen EU-USA schon im Vorfeld heftig kritisiert haben und weiter für einen stärkeren Schutz eintreten. (Hellmut Buchroithner, 29.7.2023)