Seit Juli 2020 liegt der EU-US Privacy Shield auf Eis. Ein Urteil des EuGH erklärte das Abkommen über den Datenaustausch zwischen der EU und den USA für rechtswidrig. Ein Erlass von US-Präsident Joe Biden soll jetzt einen Ausweg aus dieser Situation weisen. [...]
„Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ lautet der Titel eines Dokuments, das US-Präsident Joe Biden am 7. Oktober unterzeichnet hat.
Diese Verordnung regelt, unter welchen Umständen US-Behörden in großem Umfang auf personenbezogene Daten von EU-Bürgern zugreifen können. Und sie soll das zwischen den USA und der EU ausgehandelte Datenschutzabkommen „Privacy Shield“ wiederbeleben, das seit einem Urteil des EuGH vom Juni 2020 de facto auf Eis liegt.
Weshalb Privacy Shield wichtig ist
Die DSGVO verbietet die Weitergabe personenbezogener Daten von EU-Bürgern an Länder, in denen kein Datenschutzniveau vorhanden ist, das mit dem der DSGVO vergleichbar ist. Um beispielsweise Daten deutscher Verbraucher an Google weitergeben zu dürfen, müssten die US-amerikanischen Datenschutzbestimmungen mit denen der EU kompatibel sein, also zum Beispiel einen unkontrollierten Zugriff von Behörden auf personenbezogene Daten verhindern.
Das sollte das EU-US Privacy-Shield-Abkommen gewährleisten, das die USA und die EU im Jahr 2016 aushandelten. Privacy Shield ersetzte das Safe-Harbor-Abkommen, das der EuGH 2015 für ungültig erklärte, nachdem der Datenschutzaktivist Max Schrems dagegen geklagt hatte. Mit einer neuen Klage brachte Schrems 2020 auch Privacy Shield zu Fall.
Knackpunkt in beiden Fällen sind die Zugriffsrechte US-amerikanischer Behörden auf die Daten von EU-Bürgern. Vor allem unter Ex-Präsident Donald Trump zeigte die US-Regierung wenig Neigung, sich das Recht darauf nehmen zu lassen, sensible Daten zu nutzen, wo immer sie das für richtig hält.
Neue Regeln aus Washington
Mit der Executive Order vom 7. Oktober will Joe Biden jetzt die Grundlage schaffen, um Privacy Shield wiederzubeleben. Die Verordnung beschränkt das Recht auf einen massenweisen Zugriff auf Daten von EU-Bürgern auf spezielle Ausnahmefälle, in denen beispielsweise die nationale Sicherheit bedroht ist.
Aber auch zur Aufklärung internationaler Finanzdelikte oder anderer schwerer Straftaten sollen Massenuntersuchungen erlaubt sein, „wenn nachrichtendienstliche Erkenntnisse auf anderem Wege nicht beschafft werden können oder der dazu erforderliche Aufwand in keinem Verhältnis zum Ergebnis stünde“.
Zudem soll eine Beschwerdestelle eingerichtet werden, bei der EU-Bürger gegen den Umgang mit ihren Daten Einspruch einlegen können. Ein noch einzurichtendes Gericht soll Streitfälle klären, ein Kontrollausschuss soll die Einhaltung der Regeln durch US-Behörden überwachen.
EU ist am Zug
Den nächsten Schritt müsste jetzt die EU tun. Das EU-Parlament muss erneut einen so genannten Angemessenheitsbeschluss fassen, der offiziell feststellt, dass die USA ein Datenschutzniveau bieten, das dem der DSGVO angemessen ist. Das wäre die Voraussetzung dafür, dass eine Weitergabe von EU-Daten an US-Server wieder legal wird.
Neue Klage möglich
An diesem Punkt war die digitale Wirtschaft bereits zweimal, nämlich nach Safe Harbor und nach Privacy Shield. Doch beide Male machte das EuGH einen Strich durch die Rechnung – ausgelöst durch eine Klage von Max Schrems und der von ihm gegründeten Organisation NOYB (None of your business – geht dich gar nichts an). Es erscheint nicht ausgeschlossen, dass NOYB auch gegen einen erneuten Angemessenheitsbeschluss juristisch vorgehen könnte.
Welche Folgen ein Verbot der Weitergabe von EU-Daten an US-Server haben kann, mussten bereits viele Website-Betreiber erfahren, die zum Beispiel abgemahnt wurden, weil sie Google Fonts einsetzen.
Diese Technik überträgt die IP-Adresse des Websitenutzers an einen Google-Server, der in den USA stehen könnte. Damit verstößt sie gegen die DSGVO macht den Websitebetreiber zum Ziel wettbewerbsrechtlicher Abmahnungen.
*Frank Kemper stieß 2001 zum Team der INTERNETWORLD und leitete von 2013 bis 2020 die Print-Ausgabe von INTERNET WORLD BUSINESS. Der Absolvent der Deutschen Journalistenschule in München blickt auf über 30 Jahre Redaktionserfahrung zurück und ist nahezu ebenso lang online.
Be the first to comment