Die EU und die USA haben eine Einigung über einen neuen Rahmen für den transatlantischen Datenverkehr angekündigt. (Die Erklärung der EU finden Sie hier und die Erklärung der USA hier).
Die Vereinbarung ist eine Reaktion auf die Aufhebung des Datenschutzschildes durch Schrems II im Jahr 2020. In den vergangenen Monaten wurde ausführlich über dieses Thema berichtet, wobei es vor allem um die Verwendung von Google Analytics ging. (Unsere Zusammenfassung finden Sie hier und die Ankündigung der CNIL & NOYB hier und hier).
Die Vereinbarung über einen neuen Rahmen für die Datenverarbeitung im Ausland enthält keinen Text, der für rechtliche Zwecke analysiert werden kann. Die Ankündigung ist wahrscheinlich als "Grundsatzvereinbarung" gedacht und dient als Grundlage für einen "Angemessenheitsbeschluss" in der EU und eine Durchführungsverordnung in den USA, die in den kommenden Monaten ausgearbeitet werden sollen. Es muss jedoch noch viel mehr geschehen, damit sie in Kraft treten kann.
Schlussfolgerung: Die Ankündigung ist (erneut) eine politische Ankündigung ohne Rechtsgrundlage. Lippenstift auf einem Schwein...
Ist doch schön, oder?
- Privacy Shield 2.0 hat keine Rechtsgrundlage
- Wo stehen wir?
- Können Sie Google Analytics verwenden?
- Aktualisierungen
Privacy Shield 2.0 hat keine Rechtsgrundlage
Hier ist, was Max Schrems zu sagen hatte:
Wir hatten bereits 2015 ein rein politisches Abkommen, das keine Rechtsgrundlage hatte. Nach dem, was man hört, könnten wir das gleiche Spiel jetzt ein drittes Mal spielen. Der Deal war offenbar ein Symbol, das von der Leyen gewollt hat, das aber bei den Experten in Brüssel keinen Rückhalt hat, weil sich die USA nicht bewegt haben. Besonders empörend ist, dass die USA angeblich den Krieg gegen die Ukraine genutzt haben, um die EU in dieser Wirtschaftsfrage unter Druck zu setzen.
Sobald der endgültige Text vorliegt, werden wir ihn zusammen mit unseren US-Rechtsexperten eingehend analysieren. Sollte er nicht mit dem EU-Recht in Einklang stehen, werden wir oder eine andere Gruppe ihn wahrscheinlich anfechten. Am Ende wird der Europäische Gerichtshof ein drittes Mal entscheiden. Wir gehen davon aus, dass die Angelegenheit innerhalb weniger Monate nach einer endgültigen Entscheidung erneut vor dem Gerichtshof verhandelt wird.
Es ist bedauerlich, dass die EU und die USA diese Situation nicht genutzt haben, um sich auf ein "No-Spy"-Abkommen mit Basisgarantien unter gleichgesinnten Demokratien zu einigen. Kunden und Unternehmen stehen weitere Jahre der Rechtsunsicherheit bevor.
Wo stehen wir?
Die Ankündigung hat den Anschein erweckt, dass ein Datenschutzschild 2.0 in greifbare Nähe gerückt ist, aber wir sind noch weit von einem wirklich funktionierenden Schild entfernt. Es gibt jedoch ein paar Dinge, die wir erwarten können.
Unabhängiges Gericht
Derzeit wird in den USA kaum oder gar nicht von einem unabhängigen Gericht überprüft, ob die Verarbeitung personenbezogener Daten zulässig war. Mit dem neuen Datenschutzschild 2.0 würde sich dies ändern. Ein neues unabhängiges Gericht soll sich mit Streitigkeiten über die Verarbeitung personenbezogener Daten befassen.
Selbstzertifizierung
In den USA ansässige Softwaredienste müssen sich erneut selbst zertifizieren, um die GDPR einzuhalten. Das bedeutet, dass nicht jeder Softwaredienst mit Sitz in den USA sofort für die Verarbeitung personenbezogener Daten verwendet werden kann. Wenn Sie in den USA ansässige Dienste legal nutzen wollen, müssen Sie prüfen, ob sie zertifiziert sind.
Können Sie Google Analytics verwenden?
In der Zwischenzeit bleibt die derzeitige Situation bestehen, wonach die Nutzung von Softwarediensten mit Sitz in den USA einen Verstoß gegen die DSGVO darstellt. Es gibt kein juristisches Dokument, das etwas anderes besagt, und wir werden wohl noch einige Zeit auf ein solches warten müssen. Das Risiko von Geldstrafen ist gering, aber Unternehmen, die auf der "guten Seite" des Gesetzes stehen wollen, verstoßen gegen das Gesetz, indem sie Dienste wie Mailchimp oder Google Analytics nutzen.
US-basierte Dienste sind nicht die einzigen verfügbaren Software-Tools. Es gibt jede Menge EU-Alternativen zu US-amerikanischen Diensten, die mit der GDPR konform sind. Wir haben zum Beispiel eine datenschutzfreundliche Alternative zu Google Analytics namens Simple Analytics entwickelt. Auf alternativeto.net (Crowdsourced Software Recommendations) finden Sie weitere datenschutzfreundliche Alternativen in fast jeder Kategorie.
Zusammenfassend lässt sich sagen, dass die Ankündigung des neuen transatlantischen Datenflussabkommens (vorerst) nur eine politische Ankündigung ist. Wir brauchen zunächst einen Rechtstext, um eine "Angemessenheitsentscheidung" darüber zu treffen. Es wird Monate (und hoffentlich nicht Jahre) dauern, bis der Datenschutzschild 2.0 in Kraft treten wird. In der Zwischenzeit verstößt die Nutzung von Softwarediensten mit Sitz in den USA gegen das Gesetz.
Aktualisierungen
Der neue Rahmen für die Datenübermittlung ist auf dem Weg. US-Präsident Joe Biden unterzeichnete im Oktober 2022 eine Durchführungsverordnung zur elektronischen Überwachung, und die EU-Kommission veröffentlichte zwei Monate später einen Entwurf für einen Angemessenheitsbeschluss für die USA.
Der Vorschlag wird mit Sicherheit angenommen, aber wahrscheinlich auch vor dem EuGH angefochten werden. Mit anderen Worten: Schrems III steht bereits vor der Tür, und es ist schwer zu sagen, wie es ausgehen wird.