Was kommt nach Third-Party-Cookies?
Die Europäische Union und die Vereinigten Staaten verfügen seit dem „Schrems II“-Urteil im Juli 2020 über keinen Angemessenheitsbeschluss über den Datenschutz bei internationalen Datenübermittlungen zu gewerblichen Zwecken. Damals erklärte der Europäische Gerichtshof den EU-US Privacy Shield für ungültig. Schon zuvor war die langjährige Vorgängervereinbarung „Safe Harbor“ 2015 vom Europäischen Gerichtshof aufgrund der gleichen Problematik mit US-Gesetzen und EU-Datenschutzrechten für ungültig erklärt worden.
Durch die Ungültigkeitserklärung des EU-US Privacy Shield verursachte Probleme
Die Entscheidung von 2020 hat in vielen Bereichen Besorgnis ausgelöst, denn eine Vielzahl der weltweit größten Technologieunternehmen, darunter Mischkonzerne wie Alphabet (Muttergesellschaft von Google), deren Dienste auf der ganzen Welt genutzt werden, haben ihren Sitz in den USA. Die Beziehungen der EU und der USA haben ein wirtschaftliches Volumen von 7,1 Billionen US-Dollar. Nicht zuletzt deshalb war es ungemein wichtig, einen transatlantischen Beschluss über Datenschutz und die Weitergabe von Daten sicherzustellen.
Die Rechtsunsicherheit hatte jedoch Auswirkungen auf die europäischen Datenschutzbehörden, und es kam zu verschiedenen Urteilen gegen Tools wie Google Analytics im Jahr 2022. Diese übermitteln Daten außerhalb der EU und weisen keine angemessenen Datenschutzmaßnahmen oder Beschränkungen bei der Datenübermittlung auf. Meta (ehemals Facebook, auch Muttergesellschaft von Instagram) warnte sogar vor einer möglichen Schließung des Zugangs und Beendigung der Geschäftstätigkeit in der EU, sollte es keinen Ersatz für den Privacy Shield geben.
Im März 2022 haben die EU und die USA mit dem neuen Trans-Atlantic Data Privacy Framework ein grundsätzliches Privacy Shield-Abkommen getroffen. „Dies wird vorhersehbare, zuverlässige Datenflüsse zwischen der EU und den USA ermöglichen, um den Datenschutz und die Rechte der Bürger zu sichern“, so Ursula von der Leyen, Präsidentin der Europäischen Kommission.
Was ist in der Durchführungsverordnung zum Privacy Shield enthalten?
Präsident Biden hat am 7. Oktober eine Durchführungsverordnung zur Umsetzung eines EU-US-Datenschutzabkommens unterzeichnet. Weder ersetzt diese automatisch den Privacy Shield noch tritt das Abkommen sofort in Kraft. Sie beschreibt jedoch die Schritte der USA, die in Übereinstimmung mit ihren erklärten Zusicherungen zur Umsetzung des Abkommens ergriffen werden.
Zu den wichtigsten Funktionen der Durchführungsverordnung gehören:
Zusätzliche Sicherheitsmaßnahmen für US-amerikanische Signal Intelligence-Aktivitäten, einschließlich der Beschränkung von Aktivitäten auf das Notwendige und innerhalb von Parametern, die in einem angemessenen Verhältnis zur Priorität (in Bezug auf die nationale Sicherheit) stehen, und unter Berücksichtigung der Privatsphäre und der bürgerlichen Freiheiten aller Personen, unabhängig von ihrer Staatsangehörigkeit und ihrem Wohnsitzland.
Vorgeschriebene Anforderungen an den Umgang mit personenbezogenen Daten, die durch Signal Intelligence erfasst werden, und Ausweitung der Verantwortlichkeiten zuständiger Beamter, um sicherzustellen, dass im Falle der Nichteinhaltung geeignete Maßnahmen ergriffen werden.
Aktualisierungen der Richtlinien und Verfahren der US-amerikanischen Intelligence Community, sodass neue Sicherheitsmaßnahmen in Bezug auf Datenschutz und bürgerliche Freiheiten berücksichtigt werden.
Schaffung eines mehrstufigen Mechanismus für Einzelpersonen aus qualifizierten Staaten und Organisationen, um eine unabhängige, verbindliche Überprüfung von Fällen zu gewährleisten, in denen bezüglich der Erfassung oder des Umgangs mit personenbezogenen Daten gegen geltende US-Gesetze verstoßen wird, und um Entschädigung bei Ansprüchen zu leisten.
Das Privacy and Civil Liberties Oversight Board (Aufsichtsgremium für Datenschutz und bürgerliche Freiheiten) wurde aufgerufen, die Richtlinien und Verfahren der Intelligence Community in Hinblick auf Vereinbarkeit mit der Durchführungsverordnung zu überprüfen und eine jährliche Überprüfung des Entschädigungsverfahrens durchzuführen.
Fazit
Durch die Umsetzung dieser Schritte wird ein neuer Angemessenheitsbeschluss durch die Europäische Kommission ermöglicht, wodurch wichtige und praktische transatlantische Datenübermittlungsmechanismen gemäß EU-Recht wieder ermöglicht werden. Außerdem bietet es Unternehmen, die Standardvertragsklauseln oder verbindliche unternehmensinterne Datenschutzvorschriften für die Übermittlung von EU-Daten in die USA verwenden, auch ein höheres Maß an Rechtssicherheit.
Es ist jedoch auch zu beachten, dass die endgültige Entscheidung über ein neues Abkommen beim Europäischen Gerichtshof liegt. Schließlich ist es auch möglich, dass ein solches Abkommen vor Gericht angefochten wird, wenn Zweifel daran bestehen sollten, ob es in angemessener Form in Einklang mit EU-Recht steht oder ob es ausreichende Sicherheit bietet.
Bei Fragen zur Einhaltung der DSGVO, zu internationalen Datenübermittlungen oder zu den Datenschutzgesetzen der USA helfen wir Ihnen gerne weiter. Nehmen Sie Kontakt mit uns auf.