Die Datenschutzbeauftragten der EU-Länder haben dem geplanten Datenschutzabkommen (Data Privacy Framework) mit den USA überraschend bescheinigt, weitgehend den gesetzlichen Regularien in der EU zu genügen. Damit dürfte der Weg zum Inkrafttreten frei sein – anders als bei zwei gescheiterten Vorgängerversionen.
Data Privacy Framework als dritter Versuch
Das nun geprüfte Datenschutzabkommen stellt den dritten Anlauf dar, eine Vereinbarung zu treffen, die den rechtssicheren Transfer personenbezogener Daten von der EU in die USA ermöglicht. Bisher ist ein solcher nicht gewährleistet, was viele Unternehmen vor Probleme stellt, wenn sie Daten in den USA auswerten oder weiterverarbeiten möchten. Die vorherigen Projekte Privacy Shield und SafeHarbor waren vor dem Europäischen Gerichtshof gescheitert, da viele datenschutzrechtliche Erfordernisse nicht erfüllt werden konnten.
Die jetzt vorliegende dritte Vereinbarung scheint den EU-Anforderungen deutlich eher zu genügen. Nach einem Jahr, in dem zwischen den beiden Parteien verhandelt wurde und die US-Regierung unter Joe Biden zahlreiche Präsidialverfügungen erließ, die die Ausführungsbestimmungen für Gesetze, die Datenerhebung und -verarbeitung betreffen, erließ, fällt das Fazit insgesamt positiv aus. „Wir sehen den Willen, ein angemessenes Schutzniveau für Betroffene, deren personenbezogene Daten an Unternehmen in die USA übermittelt werden, zu schaffen“, sagte etwa der Datenschutzbeauftragte der Bundesregierung, Ulrich Kelber.
Kleinere Bedenken bleiben
Grundsätzliche Probleme mit dem Text der Angemessenheitsbescheinigung, die bestätigt, dass in den USA zumindest ein ähnliches Datenschutzniveau wie in der EU eingehalten wird, gibt es nicht. Hervorgehoben wurde in der Stellungnahme der Datenschutzbeauftragten der EU-Länder etwa, dass nun erstmals eine Möglichkeit vorgesehen sei, Datenschutzverstöße in den USA prüfen zu lassen. Privatpersonen aus der EU haben damit die Sicherheit, in den USA den Rechtsweg beschreiten zu können, wenn ihre Datenschutzrechte verletzt worden sind. Der Hamburgische Datenschutzbeauftragte Thomas Fuchs sieht darin „bisher nicht dagewesene Zugeständnisse“ seitens der USA.
Völlig frei von Kritik blieb das Data Privacy Framework jedoch nicht. So kritisieren die EU-Datenschutzbeauftragten etwa, dass weiterhin Massendatenerfassungen auf Basis des Foreign Intelligence Surveillance Act ohne richterlichen Beschluss möglich sein sollen. Zu einigen weiteren Punkten wurden Rückfragen an die EU-Kommission gestellt.
Darüber hinaus haben die Datenschutzbeauftragten der EU-Kommission mit ihrer Stellungnahme auferlegt, die tatsächlichen Auswirkungen des Data Privacy Framework regelmäßig einer grundsätzlichen Überprüfung zu unterziehen. Spätestens alle drei Jahre soll eine solche Überprüfung stattfinden. So soll sichergestellt werden, dass es tatsächlich zu einem wirksamen Rechtsschutz und einer Reduktion geheimdienstlicher Aktivitäten kommt.
Data Privacy Framework tritt wahrscheinlich in Kraft
Die weitere Entwicklung ist ausgehend von der nun erfolgten Stellungnahme der Datenschutzbeauftragten relativ vorhersehbar. Die Angemessenheitsbescheinigung der EU-Kommission wird dem EU-Parlament vorgelegt werden, welches sie nur mit absoluter Mehrheit zurückweisen kann – was auf Basis der grundsätzlich positiven Stellungnahme wahrscheinlich nicht geschehen wird. Damit dürfte die Vereinbarung zwischen der EU und den USA in Kraft treten.
Das bedeutet jedoch noch nicht, dass alle Unternehmen problemlos Daten aus der EU in die USA werden übertragen können. Hierzu müssen die betreffenden Unternehmen sich bei der US-Handelsaufsicht oder dem US-Handelsministerium anmelden. Dadurch verpflichten sie sich, die ausgehandelten Bestimmungen einzuhalten, was durch die genannten Behörden überwacht wird. Kommt es zu Verstößen gegen die Selbstverpflichtung, drohen in den USA enorme Strafen.