Nachdem europäische Unternehmen und Website-Betreiber lange darauf gewartet haben, ging es plötzlich doch ganz schnell: Am 10.07.2023 hat die EU-Kommission den lange angekündigten Angemessenheitsbeschluss für das EU-US Data Privacy Framework erlassen. Damit ist der Nachfolger des Privacy Shields offiziell in Kraft und kann ab sofort als Grundlage für Datentransfers an zertifizierte US-Unternehmen herangezogen. Hierdurch wird der Einsatz zahlreicher Software-Produkte wie beispielsweise Cloud-Dienste, Newsletter-Services oder auch Analysetools wieder deutlich einfacher – zumindest vorläufig.

Hintergrund: Seit der Europäische Gerichtshof im am 16.07.2020 in seinem Schrems II – Urteil das “Privacy Shield” Abkommen für unwirksam erklärt hatte, waren transatlantische Datentransfers immer mit einem erheblichen Risiko verbunden. Europäische Unternehmen, welche Dienste von US-Services wie Google, Microsoft, Facebook & Co. einsetzen wollten, mussten sicherstellen, dass diese durch “besondere Maßnahmen” ein angemessenes Schutzniveau gewährleisten. In der Praxis war dies kaum möglich. In der Folge erging eine ganze Reihe von Entscheidungen, in denen Tools wie Google Analytics oder MailChimp durch Datenschutzbehörden faktisch untersagt wurden.

Künftig können sich US-Unternehmen unter dem Data Privacy Framework zertifizieren lassen. Hierfür müssen sie bestimmte Datenschutzgrundsätze einhalten. Hierzu zählt beispielsweise die Pflicht, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind. Außerdem ist der Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden. Darüber hinaus sieht der neue Rechtsrahmen Beschränkungen für den Zugriff von US-Geheimdiensten auf Datenbestände vor. Dieses Zugriffsrecht war einer der Hauptgründe, der zur Ungültigkeit des Privacy Shields geführt hatte. Künftig sind solche Zugriffe auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß zu beschränken.

Durch den Angemessenheitsbeschluss wird die Verwendung US-amerikanische Softwareprodukte und Tools erheblich erleichtert. Übergangslösungen – wie beispielsweise den Datentransfer auf eine informierte Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO zu stützen – werden vorläufig obsolet. Verbraucher- und Datenschützer, allen voran der Österreicher Max Schrems, haben allerdings bereits angekündigt, auch das Data Privacy Framework gerichtlich prüfen zu lassen. Aus ihrer Sicht bestehen die Bedenken, die zur Ungültigkeit des Pricacy Shields geführt hatten, auch beim neuen Abkommen fort. Die Entwicklung bleibt abzuwarten. Unternehmen ist zu empfehlen, die in den letzten Jahren erarbeiteten Konzepte und zusätzlichen Schutzmaßnahmen nicht von heute auf morgen über den Haufen zu werfen.

Bild: Midjourney