Im Juli 2023 trat das EU-US Data Privacy Framework in Kraft. Die Europäische Kommission hat dem Nachfolger des gescheiterten EU-US Privacy Shields ein angemessenes Schutzniveau hinsichtlich Datentransfers von der EU in die USA attestiert. Doch sind die Angemessenheitsbeschlüsse tatsächlich eine verlässliche Basis für den Transfer personenbezogener Daten von der EU in die USA? Was hat sich hinsichtlich des Schutzes der Daten von EU-Bürger:innen konkret geändert?
Die DSGVO & das EU-U.S. Data Privacy Framework
Ein Statement von Niko Fostiropoulos, Geschäftsführer und Gründer von alfaview
Die Angemessenheitsbeschlüsse für den Datentransfer zwischen der EU und den USA sind weitestgehend eine Kopie von früheren Regelungen wie dem gescheiterten Privacy Shield:
- Die Antiterrorgesetzgebung der USA, die US-Behörden Zugriff auf Daten von EU-Bürger:innen erlaubt, bleibt unangetastet. Substantielle Änderungen am US-Recht gab es nicht. Damit bleiben die Massenüberwachung sowie die Möglichkeit des behördlichen Zugriffs auf Daten von EU-Bürger:innen bleibt weitgehend unverändert.
- FISA 702 sieht die Überwachung und Speicherung personenbezogener Daten von Nicht-US-Bürger:innen vor. EU-Bürger:innen können in den USA rechtlich nicht gegen die Speicherung ihrer Daten vorgehen und erhalten keine Auskünfte, welche Daten über sie gespeichert werden.
- Die Legitimierung des Datentransfers in die USA stellt für europäische Unternehmen, Behörden, Institutionen und Privatpersonen ein großes Risiko dar: Mit dem Datentransfer erfolgt bei der Nutzung von US-Systemen potentiell auch ein Wissenstransfer. Geschäftsgeheimnisse und europäisches Know-how werden unter den Angemessenheitsbeschlüssen in die USA transferiert und unterliegen dort wiederum der Antiterrorgesetzgebung mit umfangreichen Zugriffsmöglichkeiten für US-Behörden.
alfaview verlässt sich nicht auf die Angemessenheitsbeschlüsse, denn das Trans-Atlantic Data Privacy Framework bietet keine ausreichende rechtliche Grundlage für einen Datentransfer in die USA im Rahmen des europäischen Datenschutzes.
Kommt bald Schrems III?
Ausführliche Informationen zum EU-U.S. Data Privacy Framework sind auf der Webseite von noyb, der Organisation für Recht und Datenschutz von Max Schrems, im Artikel "Europäische Kommission gibt EU-US-Datentransfers 3. Runde beim EuGH" zu finden.