Datenschutz & Klagen. Der Nachfolger für das gekippte Privacy Shield-Abkommen ist da: Er soll Unternehmen beim Einsatz von US-Datendiensten Sicherheit geben, hat aber bereits ein – wahrscheinliches – Ablaufdatum, meinen Kritiker.
Vor drei Jahren wurde der EU‑US‑Privacy Shield durch das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) für ungültig erklärt. Für viele europäische Unternehmen gestaltete sich seitdem die Übermittlung von personenbezogenen Daten in die USA zu einem erheblichen Risiko, insbesondere durch die drohenden empfindlichen Bußgelder der Datenschutzbehörden, so Wirtschaftskanzlei Binder Grösswang in einer Analyse: Dieses Risiko dürfte nun mit der Annahme des neuen Angemessenheitsbeschlusses durch die Europäische Kommission am 10.07.2023 zumindest vorläufig ein Ende haben, erwartet die Kanzlei.
Hellmut Buchroithner ©Georg Wilke / Binder Grösswang
Das neue Abkommen heißt übrigens „Datenschutzrahmen EU-USA“. Es folgt wie erwähnt auf Privacy Shield, das seinerzeit 2015 beschlossen wurde. Warum? Weil der Europäische Gerichtshof damals die „Safe Harbor“-Einstufung der USA durch die EU-Kommission für ungültig erklärt hatte. Die wiederum hatte seit dem Jahr 2000 die Grundlage für transatlantischen Datenaustausch gebildet.
Die Uhr tickt für das neue Abkommen
Nun soll also der neue „Datenschutzrahmen“ künftig wieder für Sicherheit sorgen, wenn europäische User:innen Dienste von Amazon, Facebook, Google, Microsoft & Co. in Anspruch nehmen. Das Grundproblem – ein in den Augen der europäischen Gesetzeshüter vermutlich unzulässiges Schutzniveau für Daten der Europäer:innen in den USA – bleibt allerdings bestehen. Trotz der erfreulichen Nachricht und der leisen Hoffnung, auf bisher rechtlich unsichere Maßnahmen wie Standardvertragsklauseln (die sogenannten SCC) bei Datenübermittlungen in die USA verzichten zu können, bestehe „weiterhin eine nachvollziehbare Unsicherheit über die langfristige Stabilität des Beschlusses“, so Kanzlei Binder Grösswang.
Max Schrems ©Georg Molterer
Die Kritiker drücken es noch wesentlich griffiger aus: Der bekannt streitbare Teamdrive-Chef Detlef Schmuck (ein europäischer Cloud-Anbieter) hält das neue EU-USA-Datenschutzabkommen für „so fragwürdig wie die beiden Vorgänger“ und meint, „Unternehmen sollten sich nicht auf neues Data Privacy Framework verlassen, weil es einer Überprüfung durch den Europäischen Gerichtshof wohl nicht standhalten wird.“
Detlef Schmuck ©TeamDrive
Diese Überprüfung durch den EuGH wird es geben, denn der österreichische Datenschutz-Aktivist und Jurist Max Schrems, erfolgreicher Jäger der bisherigen Abkommen, hat bereits angekündigt, wiederum den EuGH anzurufen. Der „Datenschutzrahmen“ biete nicht mehr Schutz und sei bloß die uninspirierte – weil praktisch unveränderte – Neuauflage seiner vor dem EuGH gescheiterten Vorgänger, so Schrems, der übrigens heutzutage Chef der Bürgerrechtsorganisation NOYB ist und daher längst nicht mehr im Alleingang gegen die Datenmultis antreten muss.
Der Datenschutzrahmen EU-USA als Grundlage
Doch was steht eigentlich in dem neuen Abkommen? Mit dem neuen Angemessenheitsbeschluss wird festgelegt, dass die USA ein mit dem der EU vergleichbares, angemessenes Schutzniveau für personenbezogene Daten gewährleistet, so Kanzlei Binder Grösswang. Dieses Schutzniveau soll insbesondere durch die neu eingeführten verbindlichen Garantien des Datenschutzrahmens EU-USA hergestellt sein.
Die verbindlichen Garantien sehen insbesondere die Beschränkung des Zugriffs von US-Geheimdiensten auf EU-Daten auf ein notwendiges und verhältnismäßiges Maß sowie die Einrichtung eines Datenschutzprüfungsgerichts (dem sogenannten „Data Protection Review Court“) vor, zu welchen auch Einzelpersonen aus der EU Zugang haben.
Der Datenschutzrahmen EU-USA zielt darauf ab, alle vom EuGH im Rahmen des Schrems-II-Urteils geäußerten Bedenken hinsichtlich des Datenschutzniveaus in den USA zu beseitigen. Dies werde jedoch bereits von verschiedenen Seiten in Frage gestellt, stellt auch Kanzlei Binder Grösswang fest. Auch habe der Europäische Datenschutzausschuss (EDSA) in seiner Stellungnahme vom 28.02.2023 bereits einige Bedenken zu einzelnen Aspekten des damaligen Entwurfs des Datenschutzrahmens EU-USA geäußert, wie z. B. das Fehlen wichtiger Definitionen und unklarer Ausnahmen in Bezug auf Grundsätze. Inwieweit diese aufrecht sind, bleibe abzuwarten.
Was das Ganze für den Einsatz in Unternehmen bedeutet
Wichtig für die Praxis: Auf Basis des neuen Angemessenheitsbeschlusses dürfen personenbezogene Daten rechtssicher an US-Unternehmen, die sich dem Datenschutzrahmen EU-USA angeschlossen haben, übermittelt werden, ohne dass weitere datenschutzrechtliche Sicherheitsmaßnahmen getroffen werden müssen, erwartet Binder Grösswang.
So müssen demnach beispielsweise für Datenübermittlungen an solche US-Unternehmen keine Standardvertragsklauseln (SCC) mehr vereinbart werden. US-Unternehmen können sich dem Datenschutzrahmen EU-USA anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzmaßnahmen verpflichten. Dazu gehört zum Beispiel die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr benötigt werden.
Das bedeute zum Beispiel für europäische Webseitenbetreiber, dass ab dem 10.07.2023 Tools wie Google Analytics, die zu einer Übermittlung personenbezogener Daten in die USA führen können, wieder ohne gesonderte datenschutzrechtliche Sicherheitsmaßnahmen eingesetzt werden können, so die Kanzlei. Dies freilich unter der Prämisse, dass sich das entsprechende Unternehmen, das das Tool bereitstellt und somit die personenbezogenen Daten erhält, zur Einhaltung des Datenschutzrahmen EU-USA verpflichtet habe.
Durch den Datenschutzrahmen EU-USA werde es freilich dennoch nicht zur Ablöse der wenig beliebten „Cookie-Banner“ kommen, da die dahinterstehenden Aufklärungs- und Einwilligungspflichten unverändert sind. Die Verpflichtung zur Einholung der Zustimmung für die Verwendung technisch nicht notwendiger Cookies oder für die technische Speicherung oder den Zugriff auf Daten auf Endgeräten ist nämlich in der Richtlinie 2002/58/EG geregelt, die in Österreich im Telekommunikationsgesetz umgesetzt wurde.
Die Profis rechnen mit drei Jahren
„Der neue Angemessenheitsbeschluss der EU-Kommission bedeutet angesichts der Datenschutzunsicherheiten der letzten Jahre zwar mehr Rechtssicherheit, es ist jedoch zu erwarten dass jene Stimmen wieder lauter werden, die den Datenschutzrahmen EU-USA schon im Vorfeld heftig kritisiert haben und weiter für einen stärkeren Schutz eintreten“ meint Hellmut Buchroithner, Counsel im Team für Geistiges Eigentum und Informationstechnologie bei Binder Grösswang.
Teamdrive-Chef Schmuck, der wie erwähnt einen weiteren Erfolg von Max Schrems vor dem EuGH erwartet, nennt einen Zeithorizont: „Der Privacy Shield hat drei Jahre gehalten, dem Data Privacy Framework gebe ich höchstens einen ebenso langen Gültigkeitszeitraum.“
