Datentransfer in die USA: EU-Kommission veröffentlicht Nachfolger für Privacy Shield
Der Datenaustausch mit den USA soll mit der Angemessenheitsentscheidung der EU-Kommission eine neue rechtliche Grundlage erhalten.
Die EU-Kommission hat den Entwurf für ein neues Datenschutzabkommen mit den USA veröffentlicht. Damit sollen "sichere transatlantische Datenströme gefördert und die vom Gerichtshof der Europäischen Union im 'Schrems II'-Urteil vom Juli 2020 geäußerten Bedenken ausgeräumt werden", teilte die Kommission am 13. Dezember 2022 mit.
Der Entwurf schließe an die am 7. Oktober 2022 erfolgte Unterzeichnung eines US-Dekrets durch Präsident Joe Biden und an die von US-Generalstaatsanwalt Merrick Garland erlassenen Verordnungen an, hieß es weiter.
Die Kommission sei zu dem Schluss gekommen, "dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an US-Unternehmen übermittelt werden". US-Unternehmen könnten sich dem Datenschutzrahmen EU-USA anschließen, "indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten, darunter beispielsweise die Pflichten, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden".
Verfahren gestartet
Mit der Veröffentlichung des Entwurfs wurde das Verfahren zur Annahme eines sogenannten Angemessenheitsbeschlusses gestartet. In einem ersten Schritt habe die Kommission den Text dem Europäischen Datenschutzausschuss (EDSA) vorgelegt. Die EU-Mitgliedstaaten müssen dem Entwurf noch zustimmen. Nach Abschluss des Verfahrens kann die Kommission den endgültigen Angemessenheitsbeschluss annehmen. Das könnte im Frühjahr 2023 der Fall sein.
Der IT-Branchenverband Eco begrüßte die Veröffentlichung des Entwurfs. "Insbesondere für viele kleine und mittelständische Unternehmen in Europa ist ein rechtssicherer Datenaustausch auf internationaler Ebene die Basis für ihre datengetriebenen Geschäftsmodelle und eine gelingende digitale Transformation", sagte Evo-Vorstand Oliver Süme und fügte hinzu: "Die positiven Signale auf beiden Seiten des Atlantiks müssen nun zu einer schnellen Ratifizierung des Abkommens führen, das den kritischen Anforderungen aller angemessen Rechnung trägt und die bisherige Zitterpartie für die Digitalbranche endlich beendet."
Hintergrund des Verfahrens ist eine Entscheidung des Europäischen Gerichtshofs (EuGH) vom Juli 2020, mit der das bestehende Datenschutzabkommen, der sogenannte Privacy Shield, für unzureichend erklärt wurde. Geklagt hatte der österreichische Datenschutzaktivist Max Schrems. Um den Datenaustausch zwischen den USA und der EU wieder auf eine sichere rechtliche Grundlage zu stellen, kündigten EU-Kommissionspräsidentin Ursula von der Leyen und Biden im März 2022 die prinzipielle Einigung auf eine Nachfolgeregelung an.
Massenüberwachung bleibt erlaubt
Der EuGH hatte in seinem Urteil vor allem die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von Europäern bemängelt. Dem Erlass zufolge ist den US-Geheimdiensten jedoch weiterhin eine Massenüberwachung (bulk collection) der Telekommunikation erlaubt. Diese werde aber nur dann genehmigt, "wenn die Informationen, die zur Unterstützung einer validierten nachrichtendienstlichen Priorität (validated intelligence priority) erforderlich sind, nicht in angemessener Weise durch gezielte Überwachung gewonnen werden können".
Der Geheimdienst, der die Massenüberwachung nutze, solle "angemessene Methoden und technische Maßnahmen" anwenden, um die erhobenen Daten auf das erforderliche Maß zu beschränken und "die Erhebung nicht relevanter Informationen auf ein Mindestmaß zu reduzieren". Generell dürfen Geheimdienstaktivitäten nur in einem solchen Umfang und in einer Weise durchgeführt werden, "die im Verhältnis zu der validierten nachrichtendienstlichen Priorität stehen, für die sie genehmigt wurden".
Der Erlass benennt zudem sechs Bedrohungen, zu deren Bekämpfung die Massenüberwachung eingesetzt werden kann. Dazu zählen unter anderem Terrorismus und die Verbreitung von Massenvernichtungswaffen, aber auch bösartige Cyberaktivitäten oder internationale Finanzdelikte.
Zweistufiges Beschwerdeverfahren
Darüber hinaus enthält der Erlass einen neuen Beschwerdemechanismus, mit dessen Hilfe EU-Bürger sich gegen die Sammlung ihrer Daten durch US-Behörden wehren können. Dieser sieht vor, dass ein Bürgerrechtsbeauftragter (Civil Liberties Protection Officer/CPLO), der beim Koordinator der US-Nachrichtendienste angesiedelt ist, in einer ersten Stufe die Beschwerde untersucht. Der Beauftragte überprüft, ob beispielsweise die Regelungen des neuen Erlasses oder anderer US-Regelungen verletzt wurden.
Ferner ermächtigt der Biden-Erlass den US-Generalstaatsanwalt, ein sogenanntes Datenschutzüberprüfungsgericht (Data Protection Review Court/DPRC) einzurichten. Ein dreiköpfiges Gremium kann auf Antrag der betroffenen Person oder eines Vertreters der Nachrichtendienste eine unabhängige und verbindliche Überprüfung der Entscheidungen des Bürgerrechtsbeauftragten vornehmen. Die Angehörigen des Gerichts sollen "Juristen mit angemessener Erfahrung auf dem Gebiet des Datenschutzes und des Rechts der nationalen Sicherheit sein, wobei Personen mit früherer richterlicher Erfahrung bevorzugt werden". Sie sollen zum Zeitpunkt ihrer ersten Ernennung keine US-Regierungsmitarbeiter sein.
Schrems könnte wieder klagen
Ebenfalls soll das sogenannte Privacy and Civil Liberties Oversight Board (PCLOB) die Aktivitäten der US-Geheimdienste auf die Einhaltung der neuen Regelungen hin überprüfen. Dabei soll das Gremium auch untersuchen, ob die Geheimdienste bei den Beschwerdeverfahren ausreichend kooperieren und die Vorgaben der beiden neuen Instanzen umsetzen.
Es ist aber nicht ausgeschlossen, dass Datenschutzaktivisten wie Schrems ein weiteres Mal die Entscheidung der EU-Kommission vor Gericht zu Fall bringen. In einer Stellungnahme zur Veröffentlichung des Entwurfs wiederholte Schrems' Organisation Noyb die Kritik an dem Biden-Erlass. Jede Angemessenheitsentscheidung der EU, die auf dem Erlass beruhe, werde "den EuGH wahrscheinlich nicht zufrieden stellen, wodurch bereits das dritte Abkommen zwischen der US-Regierung und der Europäischen Kommission scheitern könnte".
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed










Es gäbe ganz schnell Alternativen im Euroraum. Der Grund, warum es sowas hier nicht...
Wenn die Vorratsdatenspeicherung durch europäische Telekommunikationsdienstleister...
Hallo! Vielen Dank für den Hinweis. Formal stimmt das natürlich, denn der Privacy Shield...
Das passiert leider, wenn in DE fortwährend SPD und CDU/CSU gewählt werden, egal wie viel...