Die USA sind aus dem Internet nicht wegzudenken. Täglich gehen Datenströme über den Atlantik und landen zur Verarbeitung in Datenzentren der Vereinigten Staaten. Das ist Datenschützern schon seit einer Weile ein Dorn im Auge. Häufig handelt es sich bei den übermittelten Daten nämlich auch um personenbezogene Informationen. Von grundsätzlichen bis hin zu intimsten Daten – was einmal auf Servern der USA gespeichert ist, liegt in unbekannten Händen.
Um die privaten Daten europäischer Bürger zu schützen, hat die EU bislang zwei Abkommen mit den USA geschlossen: Safe Harbor und Privacy Shield. Beide Abkommen haben gemeinsam, dass sie vom Europäischen Gerichtshof (EuGH) gekippt wurden. Das Problem: Ein Abkommen über Datenschutz mit Amerika ist praktisch nicht umsetzbar. Die dortigen Geheimdienste haben in einer ständig wachsenden Liste enthüllter Operationen gezeigt, dass sie auch außerhalb des Rechtssystems machen können, was sie wollen. Das ist spätestens seit den Veröffentlichungen Edward Snowdens im Jahr 2013 weithin bekannt. Nun also unternimmt die EU mit dem Data Privacy Framework einen dritten Versuch, per Abkommen Rechtssicherheit zu schaffen. Ob es diesmal klappen wird?
Zertifizierung soll Klarheit bringen
Um die Datenübertragung nach Amerika sicher zu machen, sollen sich die dortigen Empfänger dieser Daten zertifizieren lassen. Das erfolgt durch das amerikanische Handelsministerium CoC. Zertifizierte Unternehmen garantieren, dass die Daten verhältnismäßig sicher behandelt werden. Die betroffenen Unternehmen müssen ihre Zertifizierung jährlich erneuern.
Knapp einen Monat nach Verabschiedung des neuen Abkommens haben einige Unternehmen aus den USA bereits reagiert. So ließ Alphabet seine Kunden per E-Mail wissen, dass sich die Datenschutzerklärungen der Google-Dienste zum 1. September 2023 ändern. Damit will Google die Verpflichtungen aus verschiedenen Datenschutzabkommen und -gesetzen (wie das LGPD mit Brasilien, die DSGVO und Datenschutzgesetzte amerikanischer Bundesstaaten) in einer breit anwendbaren Datenschutzerklärung bündeln. In diesem Schritt will das Unternehmen direkt auch die Verpflichtungen aus dem DPF mit in seine Datenschutzerklärung übernehmen. Die Zertifizierung hat also bereits begonnen. Sie dürfte gerade bei großen Unternehmen sehr schnell ablaufen, insbesondere bei denen, die vorher schon Teil von Privacy Shield waren.
Wer als Unternehmen innerhalb der EU Daten an amerikanische Unternehmen übermitteln möchte, sollte zukünftig also zuerst die Zertifizierung nach DPF prüfen. Von der gängigen Einwilligungserklärung in Datenübermittlung und Cookies entbindet das übrigens nicht. Dafür gehören Hinweise auf die Datenverarbeitung nach dem Data Privacy Framework zukünftig in das Cookie-Banner und die Datenschutzerklärung.
Ob aller guten Dinge drei sind, wird sich erst in der Zukunft zeigen. Während das neue Abkommen einerseits Lob einfährt, wird es von anderen Seiten als Kopie des gekippten Privacy Shield kritisiert. Nicht zuletzt deshalb ist bereits die erste Klage gegen DPF absehbar. Bis der EuGH klärt, ob diese Bestand hat, steht Websitebetreibern eine erneute Zitterpartie bevor. Bis dahin wird allerdings noch eine ganze Weile vergehen, innerhalb derer das Abkommen zumindest eine gewisse Rechtssicherheit bietet.
Möchtest du eine DSGVO-konforme Online-Präsenz aufbauen? Hinterlasse uns dazu gerne einen Kommentar oder kontaktiere uns!
Haftungsausschluss: Dieser Inhalt ist nicht als Rechtsberatung auszulegen.