Datentransfer in die USA: Mal sehen, wie lange es diesmal geht

Am letzten Montag erließ die EU-Kommission den lang erwarteten Angemessenheitsbeschluss für die USA und gab damit (wieder) grünes Licht zum Datentransfer zwischen Europa und den USA. 

Grundlage dafür ist das „Trans-Atlantic Data Privacy Framework“, die Nachfolgeregelung nach „Privacy Shield“ und „Safe Harbour.“ In diesen Abkommen einigen sich die beteiligten Staaten, welche Regelungen zum Schutz personenbezogener Daten gelten und legitimieren somit wieder deren Übermittlung. US-Unternehmen, wie Microsoft, Meta, Google und viele andere, die in Europa Server betreiben, können im Rahmen eines solchen Abkommens auch Zugriffe über den Atlantik hinweg ermöglichen. 

Genau diese Zugriffe führen aber immer wieder zu Kritik, da EU-Bürger:innen nicht dieselben Rechte zustehen, die US-Bürger:innen per Verfassung haben. Edward Snowden hatte bereits im Jahr 2013 die weitreichenden Überwachungsmethodik von US-Behörden im Rahmen von Terrorabwehr und Kriminalitätsbekämpfung offengelegt. Das US-Gesetz „Foreign Intelligence Surveillance Act“ („Gesetz zur Überwachung in der Auslandsaufklärung“, kurz FISA) sieht umfangreiche Zugriffe auf Kommunikationsdaten vor und verpflichtet US-Firmen, diese bei Behördenermittlungen zu übermitteln, ohne die Betroffenen darüber zu informieren. 

Dieses Vorgehen widerspricht der EU-Datenschutzgrundverordnung (DSGVO) und der europäischen Grundrechtecharta. 

Der Datenschutzaktivist Max Schrems hatte vor diesem Hintergrund mit Klagen bei den Datenschutzbehörden die Vorgängerregelungen ins Wanken gebracht. Die Urteile gingen als „Schrems I“ und „Schrems II“ in die Geschichte des Datenschutzes ein. 

Auch gegen den jetzigen Beschluss bereitet die von Schrems gegründete NGO „NOYB – Europäisches Zentrum für digitale Rechte“ bereits die Anfechtung vor. Anfang nächsten Jahres wolle man diese nach eigener Aussage einreichen. 

An dem neuen Abkommen wird beanstandet, dass man inhaltlich keine hinreichenden Änderungen zu den vorherigen Abkommen vorgenommen habe. Insbesondere sei keine Überarbeitung des US-Überwachungsrechts erfolgt. Die eingefügte „Verhältnismäßigkeit“ wäre in den USA kein feststehender Rechtsbegriff und auch das Beschwerdeverfahren und die Überprüfungskommission, welche die rechtlichen Lücken ausfüllen soll, werden von Kritikern eben nur als „Flickschusterei“ aufgenommen, die primär rechtliche Bedenken ausräumt und eventuell nicht praxistauglich wären. 

Für den weiteren Umgang bedeutet dies, dass auf die neue Vereinbarung bis auf weiteres kein Verlass besteht, da die Legitimation befristet zu sein scheint. Es lohnt sich also weiterhin am Abschließen von EU-Standard-Vertragsklauseln festzuhalten und sich von beteiligten US-Unternehmen darlegen zu lassen, dass die DSGVO eingehalten wird, indem z.B. eine Informationspflicht gegenüber den Betroffenen zugesichert wird. Ebenso sind Verschlüsselungsverfahren ratsam, damit auch datenverarbeitende US-Unternehmen gar nicht in der Lage sind, Betroffenendaten im Klartext zu beziehen und zu guter Letzt sollte in jedem Fall geprüft werden, ob nicht auch innereuropäische Alternativen anwendbar sind.