Neues EU-US-Datentransfer-Abkommen nimmt erste Hürde

US-Präsident Joe Biden hat per Dekret Forderungen der EU nach mehr Datenschutz in den USA durchgesetzt. Nun sei der Weg frei für ein neues Privacy Shield.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1 Beitrag
Von
  • Holger Bleich

Die geplante Nachfolgeregelung für das gescheiterte "EU-US Privacy Shield" ist einen großen Schritt vorangekommen. Am 7. Oktober hat US-Präsident Joe Biden die bereits im Frühjahr angekündigte "Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities" unterzeichnet. Sie soll die Grundlage dafür schaffen, dass europäische Unternehmen wieder DSGVO-konform Daten in die Vereinigten Staaten transferieren können, ohne sich dafür aufwendig rechtlich abzusichern.

Mehr von c't Magazin Mehr von c't Magazin

Im Juli 2020 hatte der Europäische Gerichtshof (EuGH) mit seinem "Schrems-II-Urteil" die Privacy-Shield-Vereinbarung für europarechtswidrig erklärt. Diese Vereinbarung zwischen der EU und den USA beruhte auf einem Beschluss der EU-Kommission, mit dem den USA als sogenannter "sicherer Drittstaat" ein angemessenes datenschutzrechtliches Schutzniveau attestiert worden war.

Der EuGH sah das anders und kritisierte unter anderem, dass die auf die Rechtsvorschriften gestützten Überwachungsprogramme in den USA "nicht auf das zwingend erforderliche Maß beschränkt" seien und auch Daten von EU-Bürgern einbeziehen. Außerdem hatten die EU-Bürger kaum Möglichkeiten, gegen derlei Grundrechtseingriffe in den USA vorzugehen. Der im Privacy Shield vorgesehene Ombudsmechanismus genügte dem EuGH nicht, er forderte im Urteil die Möglichkeit, gerichtlich gegen Datenmissbrauch vorgehen zu können.

Ende März verkündete US-Präsident Joe Biden bei seinem Besuch in Brüssel (hier in der US-Botschaft), dass er eine "Executive Order" für ein neues Transferabkommen vorbereite.

(Bild: EU-Kommission)

Auf Drängen der EU-Kommission ließ Biden deshalb eine Durchführungsverordnung (Executive Order) erarbeiten. Sie soll alle vom EuGH monierten Punkte ausräumen. Die EU-Kommission gab sich in einer ersten Stellungnahme zufrieden. Ein "zweistufiger Rechtsbehelfsmechanismus mit unabhängigen und verbindlichen Befugnissen" sei nun eingeführt. EU-Bürger können sich bei einem "Civil Liberties Protection Officer" der US-Geheimdienste über eventuellen Missbrauch ihrer Daten beschweren. Auf der zweiten Ebene haben sie die Möglichkeit, dessen Entscheidung vor einem neu zu schaffenden "Data Protection Review Court" anzufechten.

Allerdings bleibt ein zentrales Problem weiter bestehen: Der EuGH hatte in seinem Urteil insbesondere moniert, dass US-Sicherheitsgesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act eine Massenüberwachung von EU-Bürgern ermöglichen, wenn deren Daten im Zugriff von US-Konzernen liegen. Deshalb entspreche der Datenschutzstandard in den Vereinigten Staaten nicht dem, den die DSGVO in der EU gewährleistet. Wie die EU dennoch einen angemessenen Datenschutz attestieren will, ist bislang unklar.

Die EU-Kommission wird wohl noch im Herbst ihren Entwurf für diesen Entschluss veröffentlichen. Der neue Name steht bereits fest: "EU-U.S. Data Privacy Framework". In Kraft treten dürfte er frühestens im Frühjahr 2023.

Europäische Unternehmen hatten auf ein flotteres Procedere gehofft. Sie stützen ihre Datentransfers derzeit meist auf die EU-Standardvertragsklauseln. Bis zum 27. Dezember 2022 müssen diese durch neue Versionen ersetzt werden und die Unternehmen müssen zusätzlich ein "Transfer Impact Assessment" (TIA) vorweisen, also eine ausführliche Risikobewertung ihrer Datentransfers in die USA, die meist kostspieliger externer Expertise bedarf. Viele Unternehmen stehen nun vor der Frage, ob sie diese Risikobewertung vornehmen sollen oder einfach abwarten, bis der neue Beschluss steht.

Oliver Süme, Chef des Branchenverbands eco, erhofft sich ein Ende der "Zitterpartie". Bis der neue Beschluss da sei, "sollten sich die Datenschutzbehörden klar positionieren, die vorliegende Lösung anerkennen und bis zur Inkraftsetzung unbedingt auf Bußgeldverfahren oder etwaige Übertragungsverbote bei den Unternehmen verzichten."

Derweil lässt der österreichische Datenschutzaktivist Max Schrems kaum ein gutes Haar an der neuen Executive Order. Er hatte mit Klagen gegen Facebook den Stein ins Rollen gebracht und schlussendlich das EuGH-Urteil 2020 gegen den ursprünglichen Privacy Shield erwirkt. Für Schrems bringt die Executive Order keine Verbesserung für die Betroffenen: "Das neue System ähnelt sehr stark dem früheren ‚Ombudsmann‘, der vom EuGH bereits für nicht ausreichend erklärt wurde", kommentierte der Aktivist und kündigte bereits eine neue Klage an: "Ich gehe davon aus, dass auch das neue Abkommen bald vom EuGH kassiert wird."

c't Ausgabe 13/2023

(Bild: 

c't 13/2023

)

Der Kammerjäger kommt! In der c't 13/23 geht es Computerschädlingen an den Kragen. Mit unserem Linux-Live-System Desinfec't bekämpfen Sie Viren, sichern bereits verloren geglaubte Daten und leisten Fernhilfe. Finden Sie die richtige Docking-Station, um dem Kabelsalat auf dem Schreibtisch den Kampf anzusagen. USB-C oder Thunderbolt? Wir erklären, worauf es ankommt und haben eine Reihe Docks getestet. Auf dem Prüfstand behaupten sich außerdem schnelle, kompakte Notebooks mit aktuellen Intel-CPUs und OLED-Displays und wir gehen der Frage nach, ob und wie generative KI den Bildungssektor umkrempelt. Das und noch mehr lesen Sie in c't 13/23.

(hob)