(Annomyer Autor der Technischen Universität Berlin)
___________________
Der Beschluss legt fest, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten. Der Zugang von US-Geheimdiensten zu EU-Daten sei auf ein notwendiges und verhältnismäßiges Maß beschränkt.
Die gute Nachricht zuerst:
Die Übertragung personenbezogener Daten in die USA ist jetzt wieder rechtssicher umsetzbar.
Dazu müssen sich die datenverarbeitenden US-Unternehmen -wie in den ersten beiden Runden- den Regeln des Data Privacy Framework verpflichten, indem Sie sich in einer Website des U.S. Department of Commerce (DoC) eintragen.
Die schlechte Nachricht:
Auch dieser Angemessenheitsbeschluss wird dem EuGH vorgelegt werden und die wesentliche Kritik am Privacy Shield bleibt für das Privacy Framework bestehen.
Insofern muss damit gerechnet werden, dass auch der Privacy Framework fällt. Es ist ein Spielen auf Zeit.
Gegenüber dem Privacy Shield, das seit dem Schrems II-Urteil des EuGH aus 2020 nicht mehr anwendbar ist, gibt es zwar einige Verbesserungen, aber die Rechtslage in der USA ist unverändert:
Nicht-US-Bürger genießen keinen angemessenen Schutz der Privatsphäre.
Nicht-US-Bürger dürfen gemäß dem Foreign Intelligence Surveillance Act (FISA) von den US-Sicherheitsbehörden überwacht werden (US-Bürger sind davon ausgenommen). Es gilt hier zweierlei Recht für US-und Nicht-US-Bürger.
Der Europäische Datenschutzausschuss hat zwar die Verbesserungen gegenüber den Privacy Shield gewürdigt, aber es bleiben einige Kritikpunkte erhalten. Laut Max Schrems ist die Bedeutung des Begriffs, was „verhältnismäßige Überwachungsmaßnahmen“ sind, von US-Seite und aus DSGVO/EuGH-Sicht durchaus widersprüchlich.
Und dank des Privacy Framework kann mensch sich an ein neu zu schaffendes Exekutivorgan zu wenden, den „Data Protection Review Court“, der eine Löschung der Daten anordnen kann- sofern feststellt wird, dass gegen die neuen Garantien verstoßen wurde.
Ob damit die Betroffenenrechte der DSGVO durchgesetzt werden können bleibt fraglich.
Max Schrems gibt an, dass die dritte Klage bereits vorbereitet ist und sobald der Privacy Framework zur Anwendung kommt, die Klageschrift ausformuliert und einem nationalen Gericht vorgelegt wird. Mit einer Vorlage beim EuGH wäre dann in 2024 und mit einem Urteil frühestens 2025 zu rechnen.
Was nun?
Grundsätzlich können Europäische Unternehmen und öffentliche Einrichtungen sich bei der datenschutzrechtlichen Absicherung von Datentransfers in die USA auf den Privacy Framework und den Angemessenheitsbeschluss setzen.
Aus der Erfahrung mit der ersten beiden Runden empfiehlt es sich aber wie gehabt flankierend die neuen Standardvertragsklauseln und zusätzliche Maßnahmen zum Schutz der personenbezogenen Daten mit den US-amerikanischen Auftragnehmern zu vereinbaren.
Die Texte der Blogbeiträge sind lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz, sofern nicht bei einem Beitrag anders angegeben.
Die Lizenz ersteckt sich nicht auf eventuell enthaltene Bilder, Graphiken und Screenshots, da für diese unter Umständen Urheberrechte Dritter bestehen.
Screenshot twitter.com
