Vor drei Jahren hatte es um das Aus des Privacy Shield-Abkommens einige Aufregung gegeben. Datenschutz ist ein sensibles Thema! Nun ist ein neues Datenschutzabkommen zwischen der EU und den USA in Kraft getreten. Der Name diesmal: „Data Privacy Framework“, zu Deutsch: Datenschutzrahmen.
Warum gibt es überhaupt ein Abkommen?
Die Datenschutzgrundverordnung verbietet grundsätzlich die Übermittlung personenbezogener Daten außerhalb der EU in Drittländer (Art. 44 bis 49 DSGVO). Hierzu gehören auch die USA.
Eine Ausnahme besteht dann, wenn durch die EU-Kommission ein angemessenes Datenschutzniveau im Drittland festgestellt wird. Genau das ist mit dem neuen Abkommen gerade passiert.
Und was bietet dieser Datenschutzrahmen nun Betriebsräten, Arbeitnehmern und Unternehmen?
Das regelt das neue Abkommen
Laut der EU-Kommission gewährleisteten die USA nun ein „angemessenes Schutzniveau für personenbezogene Daten“, die aus der EU an Unternehmen in Amerika übermittelt würden. Künftig dürften US-Geheimdienste auf die Daten nur dann zugreifen, wenn es „notwendig und verhältnismäßig“ sei.
Denn genau hier lag das Problem beim Vorgänger, dem Privacy Shield aus dem Jahr 2016: Das Datenschutzniveau in den USA entsprach nicht den Standards der Europäischen Union. Insbesondere hatten wohl US-Geheimdienste weitreichende Zugriffsmöglichkeiten auf Daten von Europäern. Die Folge: Eine jahrelange „Hängepartie“ mit großer Unsicherheit für den Datenaustausch zwischen den USA und der EU.
Wird das nun anders mit der neuen Regelung?
Den Ankündigungen zufolge führt diese nun „verbindliche Garantien“ ein. Außerdem soll ein Gericht zur Überprüfung des Datenschutzes eingerichtet werden. Stellt jenes Gericht fest, dass Daten unter Verstoß gegen die neuen Richtlinien erhoben wurden, kann es die Löschung der Daten anordnen.
Neben der EU sind auch Norwegen, Liechtenstein und Island an der Vereinbarung beteiligt.
Es hagelt wieder Kritik
Journalisten warteten besonders gespannt auf die Reaktion von Max Schrems auf das neue Abkommen. Denn der österreichische Jurist war es, der gegen beide Vorgängerabkommen mit Erfolg geklagt hatte. Ist er nun zufrieden?
Nein. Das neue Abkommen sei in weiten Teilen eine Kopie des vorherigen Abkommens Privacy Shield, so die Kritik.
Positiv am Abkommen findet Ralf Wintergerst, Präsident des Digitalbranchenverbands Bitkom, dass Unternehmen damit grundsätzlich wieder Rechtssicherheit erhielten. Aber: Die Frage sei, ob dieses Abkommen der gerichtlichen Überprüfung am Ende standhält. Max Schrems will mit seiner Bürgerrechtsorganisation Noyb auch diesmal klagen.
Wie geht es weiter – und was tun als Betriebsrat?
Das Wichtigste ist nun, dass Betriebsräte ihre Betriebsvereinbarungen – sofern noch nicht passiert – im Hinblick auf den internationaler Datentransfer überprüfen.
Ansonsten bleibt wohl nur … abzuwarten. Max Schrems fand deutliche Worte: „Man sagt, die Definition von Wahnsinn ist, dass man immer wieder das Gleiche tut und dennoch ein anderes Ergebnis erwartet.“ Auch nach „Harbors, Umbrellas, Shields und Frameworks“ gäbe es keine substanzielle Änderung des US-Überwachungsrechts: „Die bloße Behauptung, etwas sei neu, robust oder wirksam, reicht vor dem Gerichtshof nicht aus“, so Schrems.
In der Praxis bedeutet das wohl: Die Rechtmäßigkeit bleibt für die Zukunft wohl weiter unsicher für alle, die Dienstleistungen von US-Anbietern einsetzten – Google, Meta, Microsoft oder Amazon, die Liste ist lang. (cbo)