Data Privacy Framework wird vor Gericht scheitern
Das neue Abkommen zur Datensicherheit zwischen den USA und Europa ("Data Privacy Framework) wird zwar in Kraft treten, dann aber vor Gericht scheitern. Denn das Abkommen erfüllt seinen Zweck nicht. Es soll den datenschutzkonformen Transfer europäischer Daten in die USA ermöglichen.
Neuerungen gegenüber den alten Abkommen: Unternehmen, die Daten von Europäern in den USA speichern, sollen von der FTC überwacht werden. Hinzu kommt ein neues Gericht, mit dem EU-Bürger die Löschung ihrer bei Geheimdiensten gesammelten Daten einklagen können sollen (FB vom 25.05.23).
Neues Abkommen auf alter Basis
Das neue Abkommen beruht aber - wie die beiden zuvor schon gescheiterten Abkommen - auf einer US-Präsidialverordnung. Die Executive Order 14086 von US-Präsident Joe Biden besagt, dass US-Geheimdienste beim Sammeln von Daten darauf achten sollen, dass diese notwendig und verhältnismäßig sind. Ähnliche Verordnungen waren auch die Basis der beiden anderen Abkommen zum Datentransfer.
US-Recht und EU-Recht bei Datenspeicherung derzeit unvereinbar
Das Grundsatzproblem des Abkommens bleibt bestehen. Letztlich ist das US-Recht nicht mit EU-Recht vereinbar. Daran ändert auch das Abkommen nichts. Die USA erlauben ihren Geheimdiensten, auf die Kommunikationsdaten aller nicht-amerikanischen Bürger zuzugreifen. Das EU-Recht erlaubt aber keine Speicherung europäischer Daten in Ländern, in denen Geheimdienste Zugriff darauf haben.
Max Schrems, dessen Klagen schon die beiden Abkommen zuvor zu Fall gebracht haben, hat seine Klage auch gegen das „Data Privacy Framework“ schon in der Schublade. Und er wird den Prozess sehr wahrscheinlich gewinnen. Ein Ausweg könnte ein No Spy-Abkommen sein. In dem müssten sich die USA verpflichten, keine EU-Bürger auszuspionieren und umgekehrt. Die USA haben solche Abkommen schon mit einigen Ländern geschlossen. Für Europa ist ein solches Abkommen aber nicht absehbar.
Unternehmen müssen auf Datenspeicherung in Europa achten
Europäische Unternehmen müssen darum auch weiterhin darauf achten, dass ihre Daten (vor allem personenbezogene Daten) in Europa gespeichert werden. Das ist mühsam, besonders wenn US-Cloudsoftware genutzt wird. Die Speicherorte müssen dann extra abgefragt, bzw. im Nutzungsvertrag speziell auf Europa festgelegt werden. Nicht darauf zu achten wäre ein Verstoß gegen die DSGVO und könnte mit hohen Geldstrafen belegt werden.