Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

"Privacy Shield"-Nachfolger: Vorschlag der EU-Kommission zur US-Datenspeicherung

EU legt ihre Regeln zur Speicherung von Daten europäischer Bürger in den USA vor, müssen aber noch formell beschlossen werden. Datenschützer bleiben kritisch.

In Pocket speichern vorlesen Druckansicht 25 Kommentare lesen
Lesezeit: 5 Min.
Von
  • Falk Steiner
Inhaltsverzeichnis

Wer personenbezogene Daten in der EU erhebt, unterliegt in den meisten Fällen der Datenschutzgrundverordnung (DSGVO). Wer sie dann anschließend außerhalb der EU speichern oder verarbeiten will, etwa in Rechenzentren, darf das nur, wenn der rechtliche Schutz dort garantiert ist. Eine Möglichkeit dafür ist ein Angemessenheitsbeschluss der EU-Kommission: Dabei wird geprüft, ob im Zielland Daten vergleichbar gut geschützt sind wie in der EU.

Wenn das der Fall ist oder der Schutz zumindest hergestellt werden kann, kann die Kommission dann einen entsprechenden Beschluss fassen, auf den sich Unternehmen und andere Organisationen hinterher stützen können. Ein Land ist dabei ein Dauerproblemfall: In den USA gibt es kein bundesweites Datenschutzrecht, sondern nur sektorbezogenes oder bundesstaatliches Recht – und bislang scheiterten alle Anläufe, ein angemessenes Niveau zu garantieren.

EU-Kommission einigt sich mit USA

Nun hat die EU-Kommission nach fast eineinhalb Jahren Verhandlungen mit der US-Seite ihren Vorschlag für einen neuen Angemessenheitsbeschluss veröffentlicht. Auf insgesamt 134 Seiten wird dem um die US-Präsidialverfügungen vom Oktober erweiterten US-Datenschutzrecht ein angemessener Schutz personenbezogener Daten nach Artikel 45 DSGVO attestiert, wenn Unternehmen sich dem sogenannten "EU-US-Data Privacy Framework" unterwerfen. Wenn der Angemessenheitsbeschluss in den kommenden Monaten finalisiert wird, können Unternehmen und andere Organisationen sich den Bestimmungen unterwerfen und über das sogenannte EU-US-Data Privacy Framework personenbezogene Daten aus der EU in den USA verarbeiten.

Die EU-Kommission begründet ihren Entwurf eines Angemessenheitsbeschlusses umfangreich: Der Europäische Gerichtshof habe klargestellt, dass es für einen solchen kein identisches Schutzniveau benötige. Das allerdings war nie umstritten, sondern vielmehr, ob in den USA dem Anspruch eines funktional äquivalenten Datenschutzes zum EU-Niveau ausreichend nachgekommen wird. Zweimal stellten die Richter des Europäischen Gerichtshofes (EuGH) in Luxemburg fest, dass dies auch mit zusätzlichen Zusicherungen nicht der Fall war. Doch dieses Mal soll es nun wirklich klappen, hofft EU-Justizkommissar Reynders, der seit eineinhalb Jahren Verhandlungen mit der US-Regierung führte.

US-Präsident Joe Biden hatte in seiner Executive Order 14086 unter anderem Maßnahmen angeordnet, mit denen die US-Nachrichtendienste zu Änderungen bei der Signalaufklärung verpflichtet werden. So sollen die US-Dienste künftig bei ihren Datensammlungen darauf achten, dass diese "notwendig und verhältnismäßig" sind und bei ihren Datensammlungen besser kontrolliert werde. Zudem soll auch ein Zwei-Kammer-Rechtsweg für Nicht-EU-Bürger offenstehen, mit dem Einwände geltend gemacht werden können.

US-Unternehmen müssen sich zu Schutzniveau verpflichten

Wie bei den beiden vorangegangenen Versuchen, den USA ein angemessenes Datenschutzniveau zu bescheinigen, ist auch diesmal kein Automatismus vorgesehen. US-Unternehmen, die unter das EU-US-Data Privacy Framework schlüpfen wollen, müssen sich bei der Handelsaufsicht FTC registrieren lassen und die damit verbundenen Verpflichtungen akzeptieren. Die FTC ist als Aufsichtsbehörde rechtlich in der Lage, Verstöße gegen Selbstverpflichtungen hart zu ahnden.

Lesen Sie auch

Zur Angemessenheitsentscheidung der EU-Kommission müssen im nächsten Schritt Stellungnahmen der Mitgliedstaaten und der europäischen Datenschutzaufsichtsbehörden erfolgen. Letztere haben allerdings kein Einspruchsrecht. Auch das Europaparlament hat Mitberatungsrechte. Allerdings kann es den Entwurf formal nicht verhandeln, sondern nur über ein Einspruchsverfahren komplett verhindern, was als unwahrscheinlich gilt. Die EU-Kommission will das Verfahren in den kommenden Monaten abschließen.

Wirtschaft sieht Entwurf positiv, Datenschützer bleibt skeptisch

Aus Sicht der Internetwirtschaft ist der Entwurf der Kommission ein guter Schritt: "Insbesondere für viele kleine und mittelständische Unternehmen in Europa ist ein rechtssicherer Datenaustausch auf internationaler Ebene die Basis für ihre datengetriebenen Geschäftsmodelle", sagt Oliver Süme, Vorstand des Verbands Eco. Er hoffe auf eine zeitnahe Verabschiedung des Angemessenheitsbeschlusses.

Der österreichische Datenschutzaktivist Max Schrems, der schon die Vorgängervereinbarungen Safe Harbor und Privacy Shield vor dem EuGH zu Fall brachte, will den nun vorgeschlagenen Angemessenheitsbeschluss prüfen: "Da sich der Entscheidungsentwurf auf die bereits bekannte Executive Order stützt, glaube ich kaum, dass diese einer Anfechtung vor dem Gerichtshof standhalten wird."

Lesen Sie auch

Ob Schrems damit Recht behält, werden absehbar die Luxemburger Richter prüfen müssen. Gestern hatte sich EU-Justizkommissar Didier Reynders bei einem Auftritt verhalten optimistisch gezeigt, dass der dritte Anlauf diesmal dort Bestand haben könnte. Wohl auch deshalb sind dem Entwurf zahlreiche Schreiben von US-Stellen beigefügt, etwa die Ausführungen des Department of Commerce, der Chefin der US-Handelsaufsicht FTC Lina Khan, des US-Justizministeriums und der Behörde des Direktors der Nachrichtendienste (ODNI). In den Schreiben wird erläutert, welche Zusicherungen die US-Seite gegeben hat und wie diese gemeint wären.

(fds)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum zum Thema: Datenschutz

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten