Datenschutzabkommen zwischen EU und USA geht in die nächste Runde
Zwei Datenschutzabkommen zwischen der EU und den USA sind bereits kläglich gescheitert. Der dritte Versuch soll es nun richten. Ob die neue Regelung den Kritikern standhalten kann, wird sich zeigen.
In der Sache Datenschutzrahmen EU-USA tut sich wieder etwas. Die Europäische Kommission wagt den dritten Anlauf und hat einen neuen Angemessenheitsbeschluss vorgelegt. Der Beschluss hält fest, dass ein Drittland wie die USA ein vergleichbares, angemessenes Schutzniveau für personenbezogene Daten besitzt, wie es in der Datenschutz-Grundverordnung (DSGVO) geregelt ist. Die Ampeln für den neuen Datenschutzrahmen stehen also auf Grün.
Die neueste Version des Datenschutzabkommens folgt drei Jahre nach dem Aus von "Privacy Shield". Das erste Privacy-Shield-Abkommen wurde wegen Nichteinhaltung der Allgemeinen Datenschutzverordnung (GDPR) für ungültig erklärt. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) kam damals zum gleichen Schluss und strich den Verweis "angemessener Schutz unter bestimmten Voraussetzungen" für die USA. Das hatte zur Konsequenz, dass Schweizer Unternehmen ihre Datentransfers in die USA nicht mehr auf das US-Swiss-Pricacy-Shield abstützen konnten.
Sicherer Datenverkehr dank neuem Beschluss
Die EU zeigt sich im dritten Anlauf überzeugt, dass die USA nun einen angemessenen Schutz für Daten bieten, die aus dem europäischen Raum an amerikanische Unternehmen fliessen. Das neue Abkommen regle, dass US-Geheimdienste künftig nur dann auf Daten zugreifen dürfen, wenn es notwendig und verhältnismässig sei. Zudem soll ein Gericht zur Überprüfung des Datenschutzes auf die Beine gestellt werden. Stelle das Gericht einen Richtlinienverstoss fest, könne es die Löschung von Daten anordnen. US-Unternehmen könnten ihrerseits dem Pakt beitreten, wenn sie sich zur Einhaltung der Datenschutzregelungen verpflichten. Die Vereinigten Staaten von Amerika hätten bereits in der grundsätzlichen Einigung "beispiellose Zusagen" gemacht, wie "Heise.de" Kommissionspräsidentin Ursula von der Leyen zitiert.
Wie "verhältnismässig" darf ein Zugriff sein?
Den Entwurf dieses Beschlusses veröffentlichte die Europäische Kommission bereits im vergangenen Dezember. Sie kam zum Schluss, dass der amerikanische Rechtsrahmen Garantien biete, die mit denen der EU vergleichbar seien. Dieser Einschätzung widersprach damals der österreichische Datenschutzaktivist Max Schrems: "Es hat den Anschein, dass die Europäische Kommission immer wieder ähnliche Entscheidungen erlässt - unter eklatanter Verletzung unserer Grundrechte". Der Jurist ist bestens mit den bisherigen Beschlüssen vertraut. Auf seine Klagen wurden der Vorgänger "Privacy Shield" in 2020 und der erste Versuch namens "Safe Harbor" aus dem Jahr 2000 für ungültig erklärt.
Schrems sieht seine erste Einschätzung zum neuesten Versuch des Datenabkommens bestätigt. Beim aktuellen Abkommen handle es sich weitgehend um eine Kopie des ersten Privacy Shield. Er wirft von der Leyen und Biden einen Griff in die Trickkiste vor. Die USA sollen etwa dem Wort "verhältnismässig" eine andere Bedeutung beimessen als der Europäische Gerichtshof. So hätten sich die EU und die USA zwar auf dasselbe Wort geeinigt - letztlich würden jedoch beide etwas anderes darunter verstehen.
Zudem hätten die USA den Foreign Intelligence Surveillance Act (FISA) 702 in keiner Weise verändert. Nach Ansicht der USA besitzen nämlich Nicht-US-Bürgerinnen und -Bürger keine verfassungsmässigen Rechte. Somit stelle eine Verletzung des Rechts auf Privatsphäre bei diesen auch kein Problem dar. Eine dritte Klage durch Schrems' Organisation Noyb steht deshalb bereits in den Startlöchern.
Eine Schweizer Version des Datenschutzabkommens ist noch in Arbeit. Schweizer Unternehmen sollten deshalb immer noch Vorsicht walten lassen, welche Daten sie an US-Firmen übermitteln wollen. Am 1. September 2023 tritt zudem das revidierte Datenschutzgesetz in Kraft. Adrian Lobsiger, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte, ordnet im Interview die Neuerungen ein.