Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Neues EU-US-Datentransfer-Abkommen nimmt erste Hürde

US-Präsident Joe Biden hat per Dekret Forderungen der EU nach mehr Datenschutz in den USA durchgesetzt. Nun sei der Weg frei für ein neues Privacy Shield.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Lesezeit: 4 Min.
c't Magazin
Von
  • Holger Bleich

Die geplante Nachfolgeregelung für das gescheiterte "EU-US Privacy Shield" ist einen großen Schritt vorangekommen. Am 7. Oktober hat US-Präsident Joe Biden die bereits im Frühjahr angekündigte "Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities" unterzeichnet. Sie soll die Grundlage dafür schaffen, dass europäische Unternehmen wieder DSGVO-konform Daten in die Vereinigten Staaten transferieren können, ohne sich dafür aufwendig rechtlich abzusichern.

Im Juli 2020 hatte der Europäische Gerichtshof (EuGH) mit seinem "Schrems-II-Urteil" die Privacy-Shield-Vereinbarung für europarechtswidrig erklärt. Diese Vereinbarung zwischen der EU und den USA beruhte auf einem Beschluss der EU-Kommission, mit dem den USA als sogenannter "sicherer Drittstaat" ein angemessenes datenschutzrechtliches Schutzniveau attestiert worden war.

Der EuGH sah das anders und kritisierte unter anderem, dass die auf die Rechtsvorschriften gestützten Überwachungsprogramme in den USA "nicht auf das zwingend erforderliche Maß beschränkt" seien und auch Daten von EU-Bürgern einbeziehen. Außerdem hatten die EU-Bürger kaum Möglichkeiten, gegen derlei Grundrechtseingriffe in den USA vorzugehen. Der im Privacy Shield vorgesehene Ombudsmechanismus genügte dem EuGH nicht, er forderte im Urteil die Möglichkeit, gerichtlich gegen Datenmissbrauch vorgehen zu können.

Ende März verkündete US-Präsident Joe Biden bei seinem Besuch in Brüssel (hier in der US-Botschaft), dass er eine "Executive Order" für ein neues Transferabkommen vorbereite.

(Bild: EU-Kommission)

Auf Drängen der EU-Kommission ließ Biden deshalb eine Durchführungsverordnung (Executive Order) erarbeiten. Sie soll alle vom EuGH monierten Punkte ausräumen. Die EU-Kommission gab sich in einer ersten Stellungnahme zufrieden. Ein "zweistufiger Rechtsbehelfsmechanismus mit unabhängigen und verbindlichen Befugnissen" sei nun eingeführt. EU-Bürger können sich bei einem "Civil Liberties Protection Officer" der US-Geheimdienste über eventuellen Missbrauch ihrer Daten beschweren. Auf der zweiten Ebene haben sie die Möglichkeit, dessen Entscheidung vor einem neu zu schaffenden "Data Protection Review Court" anzufechten.

Allerdings bleibt ein zentrales Problem weiter bestehen: Der EuGH hatte in seinem Urteil insbesondere moniert, dass US-Sicherheitsgesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act eine Massenüberwachung von EU-Bürgern ermöglichen, wenn deren Daten im Zugriff von US-Konzernen liegen. Deshalb entspreche der Datenschutzstandard in den Vereinigten Staaten nicht dem, den die DSGVO in der EU gewährleistet. Wie die EU dennoch einen angemessenen Datenschutz attestieren will, ist bislang unklar.

Die EU-Kommission wird wohl noch im Herbst ihren Entwurf für diesen Entschluss veröffentlichen. Der neue Name steht bereits fest: "EU-U.S. Data Privacy Framework". In Kraft treten dürfte er frühestens im Frühjahr 2023.

Lesen Sie auch

Europäische Unternehmen hatten auf ein flotteres Procedere gehofft. Sie stützen ihre Datentransfers derzeit meist auf die EU-Standardvertragsklauseln. Bis zum 27. Dezember 2022 müssen diese durch neue Versionen ersetzt werden und die Unternehmen müssen zusätzlich ein "Transfer Impact Assessment" (TIA) vorweisen, also eine ausführliche Risikobewertung ihrer Datentransfers in die USA, die meist kostspieliger externer Expertise bedarf. Viele Unternehmen stehen nun vor der Frage, ob sie diese Risikobewertung vornehmen sollen oder einfach abwarten, bis der neue Beschluss steht.

Oliver Süme, Chef des Branchenverbands eco, erhofft sich ein Ende der "Zitterpartie". Bis der neue Beschluss da sei, "sollten sich die Datenschutzbehörden klar positionieren, die vorliegende Lösung anerkennen und bis zur Inkraftsetzung unbedingt auf Bußgeldverfahren oder etwaige Übertragungsverbote bei den Unternehmen verzichten."

Derweil lässt der österreichische Datenschutzaktivist Max Schrems kaum ein gutes Haar an der neuen Executive Order. Er hatte mit Klagen gegen Facebook den Stein ins Rollen gebracht und schlussendlich das EuGH-Urteil 2020 gegen den ursprünglichen Privacy Shield erwirkt. Für Schrems bringt die Executive Order keine Verbesserung für die Betroffenen: "Das neue System ähnelt sehr stark dem früheren ‚Ombudsmann‘, der vom EuGH bereits für nicht ausreichend erklärt wurde", kommentierte der Aktivist und kündigte bereits eine neue Klage an: "Ich gehe davon aus, dass auch das neue Abkommen bald vom EuGH kassiert wird."

c’t – Europas größtes IT- und Tech-Magazin

Alle 14 Tage präsentiert Ihnen Deutschlands größte IT-Redaktion aktuelle Tipps, kritische Berichte, aufwendige Tests und tiefgehende Reportagen zu IT-Sicherheit & Datenschutz, Hardware, Software- und App-Entwicklungen, Smart Home und vielem mehr. Unabhängiger Journalismus ist bei c't das A und O.

(hob)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten