Transnationale Datenflüsse zwischen EU und USA

GI-Radar 328 - Thema in Fokus

Der steinige Weg zu einem sicheren Datentransfer zwischen der EU und den USA.Im Jahr 2023 könnte es ein neues Abkommen zwischen der EU und den USA über personenbezogene Daten geben.

Die digitale Wirtschaft agiert weltweit mit personenbezogenen Daten. Aus diesem Grund geht die Herausforderung, Daten zu schützen, weit über nationale oder regionale Grenzen hinaus. Mit der Datenschutz-Grundverordnung (DSGVO) will die Europäische Union den Schutz personenbezogener Daten auch dann gewährleisten, wenn Drittstaaten beteiligt sind. Demnach gibt es verschiedene Mittel, um grenzüberschreitende Datenflüsse legal zu regeln. Unter ihnen ist eine sogenannte „Angemessenheitsentscheidung“ bezüglich eines Drittlandes eines der umfassendsten Rechtsinstrumente. Sie ermöglicht grenzüberschreitende Verarbeitung von personenbezogenen Daten mit einer breiteren Rechtssicherheit. 

Die USA, ein wichtiger Akteur in der digitalen Wirtschaft, hatten mit der EU ein Abkommen namens „Privacy Shield“ geschlossen, um den grenzüberschreitenden Datenverkehr zwischen den beiden Regionen zu ermöglichen. Der Gerichtshof der Europäischen Union (EuGH) hat dieses Instrument jedoch in den Rechtssachen Schrems I und II außer Kraft gesetzt. Der EuGH erachtete das in den USA etablierte Schutzniveau für personenbezogene Daten als unzureichend. Als Gründe nannte er Beweise für die massive Überwachung durch die USA und die fehlende Berücksichtigung der DSGVO-Bestimmungen (handelsblatt.com, 5 min). Infolge dieses Urteils mussten grenzüberschreitende Datenflüsse zwischen den beiden Regionen auf andere Rechtsinstrumente als die DSGVO zurückgreifen, um die Rechtmäßigkeit der Datenverarbeitung zu gewährleisten. Das Szenario des grenzüberschreitenden Datenflusses ist dadurch komplexer geworden, insbesondere für kleinere und neuere Akteure.

Ohne umfassende Abkommen über den grenzüberschreitenden Datenverkehr und angesichts der Bedeutung Europas für die digitale Wirtschaft haben die USA deutliche Anstrengungen unternommen, um mit der EU einen neuen Rechtsrahmen auszuhandeln bzw. wiederherzustellen. Der neue Rechtsrahmen soll denselben Schutz von personenbezogenen Daten bieten wie die DSGVO (industrieanzeiger.de, 4 min). Das Ziel besteht darin, eine Angemessenheitsentscheidung für den grenzüberschreitenden Datenverkehr zwischen der EU und den USA zu erreichen, die insbesondere den amerikanischen Betreibern mehr Rechtssicherheit und geringere Kosten brächte und gleichzeitig den Schutz europäischer personenbezogener Daten gewährleisten würde.

Eine große Sorge des Europäischen Gerichtshofs bei der Aufhebung des Privacy Shield ist das massive Überwachungssystem der US-Behörden, das auch gegen europäische Bürgerinnen und Bürger und ihre personenbezogenen Daten eingesetzt wird. Daher ist die Verfügung von Präsident Joe Biden aus dem Oktober 2022 zur Beschränkung bei der Verwendung personenbezogener Daten aus der EU in den USA ein wichtiger Schritt hin zu einem neuen Abkommen bezüglich des grenzüberschreitenden Datenverkehrs zwischen den beiden Akteuren. Die Europäische Kommission hat die Verfügung als Möglichkeit begrüßt, die Probleme zu lösen, die der EuGH in seinem Urteil gegen Privacy Shield genannt hatte (ec.europa.eu, 7 min). Was an der Verfügung positiv von der Kommission gesehen wurde, sind die neuen Voraussetzungen für das US-Überwachungssystem, um personenbezogene Daten zu verwenden. Zudem hätten EU-Bürgerinnen und -Bürger demnach mehr Möglichkeiten, ihre Rechte bei US-amerikanischen Behörden geltend zu machen. Kurz nach der Verfügung des Präsidenten hat die Europäische Kommission einen neuen Prozess für einen Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA eingeleitet. 

Trotz des offensichtlichen Optimismus in Bezug auf diese neuen Entwicklungen bleiben einige Bedenken bestehen. Sie betreffen insbesondere die Frage, ob die USA die Überwachung europäischer personenbezogener Daten tatsächlich einschränken werden, wenn es um Situationen der „nationalen Sicherheit“ geht. Es ist unklar, welche konkreten Möglichkeiten europäische Bürgerinnen und Bürger haben, ihre Rechte gegenüber den US-Behörden in solchen Fällen geltend zu machen. Mehrere Organisationen, darunter das Center for Democracy and Technology (cdt.org, 5 min), haben Bedenken geäußert, dass die Menschenrechte der EU-Bürgerinnen und -Bürger so nicht gewährleistet werden können und dass die vom EuGH genannten Probleme in puncto Privatsphäre, Freiheit und Selbstbestimmung nicht berücksichtigt werden. 

Für 2023 erwartet die Europäische Union den Angemessenheitsbeschluss für den grenzüberschreitenden Datenverkehr mit den USA. Je nach Ergebnis ist es auch möglich, dass der Europäische Gerichtshof erneut eine Rolle bei der Gültigkeit des Dokuments spielen wird, insbesondere im Hinblick auf Fragen, die die Durchsetzung des Schutzes personenbezogener Daten im Land und den Schutz der Menschenrechte betreffen (noyb.eu, 4 min). Insofern könnte es trotz der ab 2022 erzielten Fortschritte noch ein langer Weg bis zum „Privacy Shield 2.0“ sein