Neues Datenschutzabkommen zwischen EU und USA: Aller guten Dinge sind drei?

Urteil der Woche
Markenparfüm Discounter

Auch das nunmehr im dritten Anlauf in Kraft getretene neue Abkommen zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA) wird voraussichtlich einer Prüfung vor dem Europäischen Gerichtshof (EuGH) unterzogen werden.
Trotz intensiver Anstrengungen und der Ankündigung eines vermeintlich “neuen” transatlantischen Datenschutzabkommens erheben bereits deutliche Stimmen den Vorwurf, dass dieses im Wesentlichen eine Kopie des gescheiterten “Privacy Shield”-Abkommens darstellt.

Hintergrund

Die Datenübermittlung zwischen der EU und den USA ist ein sensibler Bereich, der sowohl wirtschaftliche als auch rechtliche Aspekte umfasst. Die EU-Datenschutzgrundverordnung (DSGVO) legt strenge Anforderungen an den Schutz personenbezogener Daten fest. Die vorherigen Datenübermittlungsabkommen Safe Harbor und Privacy Shield wurden vom EuGH aufgrund von Bedenken hinsichtlich des Datenschutzes und der Überwachung für ungültig erklärt.

Der EuGH entschied damals, dass das Abkommen den Schutz der Privatsphäre europäischer Bürger:innen nicht ausreichend gewährleistete, da es den US-Behörden zu weitreichenden Zugriff auf die Daten erlaubte, ohne angemessene Rechtsbehelfe für EU-Bürger:innen einzuräumen.

Angesichts dieses Rückschlags kündigte die Europäische Kommission an, an einem neuen Abkommen zu arbeiten, das die Bedenken des Gerichts berücksichtigen sollte. Dies führte zur Ausarbeitung eines sogenannten “neuen” transatlantischen Datenschutzabkommens. Doch bei genauerer Betrachtung zeigt sich, dass dieses neue Abkommen in vielen Aspekten dem gescheiterten “Privacy Shield” ähnelt.

Das neue Datenschutzabkommen und seine Kritiker

Das neue Datenschutzabkommen setzt vor allem auf zwei angebliche Neuerungen. Erstens sollen die US-Behörden nur noch in besonderen Ausnahmefällen Zugriff auf die Daten von EU-Bürger:innen erhalten. Zweitens soll ein Rechtsbehelfsverfahren für EU-Bürger:innen etabliert werden, das ihnen ermöglicht, sich gegen die Erhebung und Nutzung ihrer Daten durch US-Nachrichtendienste zur Wehr zu setzen – hierfür ist die Schaffung eines neuen Data Protection Review Court (DPRC) vorgesehen.

Allerdings drängt sich die Frage auf: Sind diese Maßnahmen tatsächlich wirksam, um die Daten der EU-Bürger:innen zu schützen und die Kritik an den vorherigen Abkommen zu  entkräften?

Hinsichtlich der kritisierten umfangreichen Überwachungsbefugnisse der US-Behörden bringt das neue Abkommen nur begrenzte Veränderungen. Zwar soll der Zugriff der US-Nachrichtendienste auf europäische Daten nunmehr auf Fälle beschränkt werden, in denen dieser Zugriff zur nationalen Sicherheit im Einklang steht und „verhältnismäßig“ ist. Dies soll die Befugnisse der US-Behörden präziser regulieren und einen ausgewogeneren Ansatz im Schutz der Privatsphäre der europäischen Bürger:innen sicherstellen. Die Problematik hinsichtlich des Zugriffs der US-Nachrichtendienstes auf europäische Daten liegt jedoch darin, dass in der EU eine präzise Definition des Begriffs “verhältnismäßig” vorliegt, während dies in den USA nicht der Fall ist. Dadurch besteht die Möglichkeit, dass ein Zugriff in den USA leichter als “verhältnismäßig” eingestuft und dementsprechend gerechtfertigt werden kann.

Ein weiterer fragwürdiger Punkt des Abkommens ist die Einführung eines “Data Protection Review Court”. Die Hauptkritik liegt vor allem in den begrenzten Befugnissen des Gerichts. Obwohl es befugt ist, die Rechtmäßigkeit von Datenverarbeitungen gemäß dem US-Recht zu bewerten, fehlt ihm die Befugnis zur Anordnung konkreter Maßnahmen. Diese Lücke stellt EU-Bürger:innen vor die Herausforderung, angemessene Schutzmaßnahmen für ihre persönlichen Daten einzufordern, da das Gericht nicht in der Lage ist, direkte Durchsetzungsmaßnahmen zu ergreifen. Damit einher geht die Besorgnis, dass die USA möglicherweise nicht effektiv in der Lage sind, Datenschutzverstöße zu sanktionieren oder zu korrigieren, da das Gericht keine durchgreifende Autorität besitzt.

In Anbetracht dieser Probleme und Unsicherheiten ziehen Kritiker den Schluss, dass das vermeintlich “neue” transatlantische Datenschutzabkommen lediglich eine Neuauflage des gescheiterten “Privacy Shield”-Abkommens darstellt. Die Parallelen sind offensichtlich und werfen die Frage auf, ob die Europäische Kommission aus den vorherigen Fehlschlägen gelernt hat und ob die vorgeschlagenen Änderungen ausreichen, um den Bedenken hinsichtlich des Schutzes der Privatsphäre und der Rechte der EU-Bürger:innen gerecht zu werden.

Klage bereits in Sicht

Die Frage, ob “aller guten Dinge wirklich drei sind”, bleibt im Kontext der Datenübermittlung zwischen der EU und den USA unbeantwortet.

Die Datenschutzorganisation noyb hat bereits verschiedene rechtliche Schritte angekündigt, um das neue Abkommen erneut vor den EuGH zu bringen. Es wird erwartet, dass die ersten Unternehmen in den kommenden Monaten von dem neuen Abkommen Gebrauch machen, was den Weg für rechtliche Anfechtungen ebnet. Noyb geht davon aus, dass bis Ende 2023 oder Anfang 2024 eine solche rechtliche Herausforderung von einem nationalen Gericht dem EuGH vorgelegt werden könnte. In diesem Fall hätte der EuGH sogar die Möglichkeit, das neue Abkommen während des Verfahrens auszusetzen. Eine endgültige gerichtliche Entscheidung könnte somit im Jahr 2024 oder 2025 erwartet werden.

Total
0
Shares
Prev
Vorschau Q4 2023
Podcast Folge 34

Vorschau Q4 2023

Wir verabschieden uns in die Sommerpause

Next
OLG Köln: Befristete Cookie-gesteuerte Rabattwerbung als Irreführung | 03.12.2021 (Az. 6 U 62/21)
Markenparfüm Discounter

OLG Köln: Befristete Cookie-gesteuerte Rabattwerbung als Irreführung | 03.12.2021 (Az. 6 U 62/21)

Urteil der Woche

You May Also Like