Nachdem in der Vergangenheit bereits zwei Datenschutzabkommen zwischen der EU und den USA (Safe Harbour, Privacy Shield) vom Europäischen Gerichtshof für ungültig erklärt wurden, gibt es mit dem „EU-US Data Privacy Framework“ (teilweise auch als Privacy Shield 2.0 bezeichnet) einen neuen Anlauf für ein Abkommen, dass die Übermittlung und Verarbeitung europäischer Daten in den USA ermöglichen soll. Am 10.7.2023 wurde auf dieser Grundlage ein Angemessenheitsbeschluss der Europäischen Kommission erlassen, die EU-Behörde bescheinigt also, dass personenbezogene Daten in den USA durch das Abkommen auf dem gleichen Datenschutzniveau geschützt werden wie in Europa.

Mehr zu den Hintergründen und den Auswirkungen, insbesondere für den Online-Handel, erfahren Sie in folgendem Artikel

Hintergrund

Ein wichtiger Grundsatz der Datenschutz-Grundverordnung ist, dass eine Übermittlung personenbezogener Daten in außereuropäische Länder nur dann erfolgen darf, wenn sichergestellt ist, dass diese Daten dort genauso geschützt werden wie innerhalb der Europäischen Union.

Um dies sicherzustellen, gibt es unter anderem den sogenannten Angemessenheitsbeschluss der Europäischen Kommission, die hier das Datenschutzniveau eines Landes prüft und gegebenenfalls erklärt, dass die Daten dort ausreichend geschützt sind. Liegt ein solcher Beschluss vor, können die Daten grundsätzlich problemlos in das jeweilige Land übermittelt werden.

Für die USA gab es in der Vergangenheit bereits solche Angemessenheitsbeschlüsse, zunächst auf Grundlage des damaligen Safe-Harbour-Abkommens. Dieses wurde jedoch 2015 vom Europäischen Gerichtshof im sogenannten Schrems-I-Urteil für ungültig erklärt.

Hauptkritikpunkt war, dass das US-Recht den US-Geheimdiensten weitreichende Zugriffsrechte auf personenbezogene Daten von Europäern bei US-Dienstleistern einräumt, ohne dass sich ein europäischer Nutzer dagegen gerichtlich wirksam zur Wehr setzen kann.

In der Folge kam es zu einem neuen Abkommen, dem Privacy Shield, das als wesentliche Verbesserung nun unter anderem einen Ombudsmann beim US-Außenministerium vorsah. Doch auch dieses wurde 2020 durch das Schrems II-Urteil des Europäischen Gerichtshofs wieder für ungültig erklärt, da die Richter die Regelungen weiterhin für unzureichend hielten.

Ohne gültiges Abkommen ist die Übermittlung personenbezogener Daten deutlich komplizierter und so sind viele US-Dienstleister sind auf die Verwendung sogenannter Standardvertragsklauseln umgestiegen. Dabei handelt es sich um von der EU-Kommission vorgegebene Vertragsinhalte, die den Datenschutz gewährleisten sollen. Da das Hauptproblem jedoch im Zugriff der US-Behörden auf die Daten liegt, ist es sehr umstritten, ob solche Klauseln, die nur das Unternehmen binden können, das aber selbst durch US-Gesetze zur Herausgabe der Daten gezwungen werden kann, ausreichend sind.

 

EU-US Data Privacy Framework

 

Mit dem EU-US-Data-Privacy Framework (Privay Shield 2.0) wurde nun ein drittes Abkommen zwischen der EU und den USA geschlossen. Am 10.7.2023 wurde für dieses ein Angemessenheitsbeschluss der Europäischen Kommission erlassen, diese hält das Abkommen für ausreichend um europäische Daten auch in den USA ausreichend zu schützen.

Neu ist, dass es künftig ein eigenes Gericht in den USA geben soll, dass den Datenschutz überprüfen kann und an das sich betroffene EU-Bürger wenden können.

Außerdem wurden die Zugriffsbefugnisse der US-Behörden durch eine Executive Order eingeschränkt. Diese Einschränkungen sollen auch effektiv überwacht werden.

 

Wichtig:

Der Angemessenheitsbeschluss bezieht sich nur auf das Abkommen selbst und nicht auf die generelle Übermittlung personenbezogener Daten in die USA.

US-Unternehmen, die das Abkommen nutzen wollen, müssen sich zertifizieren lassen, dies geschieht durch eine Selbstverpflichtung zur Einhaltung der Daten, die teilweise auch überprüft werden soll.

 

Das US-Handelsministerium hat angekündigt, in Kürze eine neue Website online zu stellen.

Diese wird zukünftig eine Liste der teilnehmenden US-Unternehmen enthalten sowie Informationen für US-Unternehmen, wie sie dem Abkommen beitreten können.

Ob Unternehmen, die sich bereits für das bisherige Privacy Shield in ähnlicher Weise zertifiziert haben, direkt dem neuen Abkommen beitreten können, ist noch unklar.

Es ist jedoch davon auszugehen, dass insbesondere große und für den E-Commerce relevante Unternehmen wie Facebook, Google oder Microsoft sehr schnell dem Abkommen beitreten werden.

Auswirkungen auf Rechtstexte

 

Das neue Abkommen wird, aller Voraussicht nach, erhebliche Auswirkungen auf die Datenschutzerklärungen haben, soweit ein Online-Händler US-Dienstleister wie Google oder Microsoft nutzt, werden Änderungen notwendig sein.

Selbstverständlich wird Protected Shops die Rechtstexte für seine Kunden entsprechend anpassen, sobald klar ist, welche Unternehmen dem Abkommen beitreten. Wir werden zu gegebener Zeit gesondert informieren.

 

Fazit

Mit dem EU-USA-Datenschutzrahmen ist nun bereits das dritte Datenschutzabkommen zwischen den beiden Wirtschaftsmächten ausgehandelt, durch den Angemessenheitsbeschluss der EU-Kommission steht seiner Anwendung nichts mehr im Wege.

Das sind gute Nachrichten für alle Online-Händler, die amerikanische Dienstleister wie Google, Facebook oder Microsoft nutzen, deren datenschutzkonformer Einsatz wird aller Voraussicht nach künftig wieder möglich sein.

Zwar ist das letzte Wort noch nicht gesprochen, da der österreichische Datenschutzaktivist Max Schrems, der die bisherigen Datenschutzabkommen zu Fall gebracht hat, auch gegen dieses klagen will, bis es aber wieder vor dem EuGH landet, werden in jedem Fall einige Jahre ins Land gehen, in denen auf Basis dieses Abkommens relativ sicher personenbezogene Daten in die USA übermittelt werden können.