Nachdem der EuGH (EuropĂ€ischer Gerichtshof) bekanntermaĂen den vorherigen Angemessenheitsbeschluss zum Datenschutzschild EU-USA in der Schrems II-Entscheidung fĂŒr ungĂŒltig erklĂ€rt hatte, nahmen die EuropĂ€ische Kommission und die US-Regierung GesprĂ€che ĂŒber einen neuen Rahmen auf, in dem die vom Gerichtshof erhobenen Bedenken angegangen wurden.
Laut dem Commissions-Newsletter vom 10.07.2023 erklĂ€rte KommissionsprĂ€sidentin Ursula von der Leyen: âDer neue Datenschutzrahmen EU-USA wird einen sicheren Datenverkehr fĂŒr die EuropĂ€erinnen und EuropĂ€er gewĂ€hrleisten und den Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Nach der grundsĂ€tzlichen Einigung, die ich im vergangenen Jahr mit PrĂ€sident Biden erzielt habe, haben die USA beispiellose Zusagen zur Schaffung des neuen Rahmens gemacht. Heute kommen wir einen wichtigen Schritt dabei voran, den BĂŒrgerinnen und BĂŒrgern Vertrauen in die Sicherheit ihrer Daten zu geben, unsere wirtschaftlichen Beziehungen zwischen der EU und den USA zu vertiefen und gleichzeitig unsere gemeinsamen Werte zu stĂ€rken. Der Rahmen zeigt, dass wir durch Zusammenarbeit die komplexesten Fragen angehen können.â (vgl. Quellenangabe „Datenverkehr zwischen der EU und den USA“).
Ob damit nun alle Probleme mit dem Datentransfer in die USA und der Nutzung von US-Diensten (inkl. Cookies, Cloud-Diensten usw.) vom Tisch sind, ist leider nach wie vor fraglich.
Zumindest haben wir jetzt endlich einen Rechtsrahmen, der uns eine Richtung vorgibt.
Warum sollten denn nun nicht (endlich) alle Probleme erledigt sein?
Nun, die Probleme, die der EuGH nun schon in zwei Entscheidungen (EuGH in Schrems I und II) bei den VorgĂ€ngern des neuen Angemessenheitsbeschlusses ausgemacht hatte, wurden Expertenmeinungen zufolge leider nicht gelöst.Die Wahrscheinlichkeit, dass es eine EuGH Schrems IIIâEntscheidung in der Zukunft geben wird, die auch diesen Angemessenheitsbeschluss kassiert, dĂŒrfte nach den bisherigen Informationen sehr hoch sein. Die ehemalige Datenschutzbeauftragte Niedersachsens hatte Anfang des Jahres den Mittelstand noch davor gewarnt, sich auf einen (damals noch nicht erlassenen) Angemessenheitsbeschluss blind zu verlassen, weil die Probleme ja hinlĂ€nglich bekannt seien und die reine Existenz des nun vorliegenden Angemessenheitsbeschlusses nicht von jeglicher Verantwortung freisprechen wird.
Ebenso kann eine verbindliche Aussage, ob die Unternehmen, die derzeit im DPF (Data Privacy Framework) als âselbstzertifiziertâ gelistet sind, die von der EU geforderten Compliance-Richtlinien erfĂŒllen, noch nicht getĂ€tigt werden. Hintergrund ist, dass die gelisteten Unternehmen automatisch in das DPF ĂŒberfĂŒhrt wurden, da sie sich bereits fĂŒr das Privacy Shield (unter weniger strengen Voraussetzungen) zertifiziert haben. Die Unternehmen haben nun eine dreimonatige Karenzzeit, sich an die neuen Voraussetzungen anzupassen. Dass die Big Player (Google, Meta etc.) dies zumindest âauf dem Papierâ tun werden, ist mehr als wahrscheinlich. Mit absoluter Gewissheit lĂ€sst sich dies jedoch erst nach Ablauf der nĂ€chsten drei Monate sagen.
Unsere Empfehlung bleibt (leider) nach wie vor, allergröĂte Sorgfalt bei dem Einsatz von US-Diensten walten zu lassen und am besten vollkommen auf diese zu verzichten. Wir empfehlen grundsĂ€tzlich auf langfristige EU-Alternativen statt auf US-Dienste zu setzen und unabhĂ€ngig davon zu bleiben, ob und wann die zu erwartende âSchrems IIIâ-Entscheidung den Angemessenheitsbeschluss wieder auĂer Kraft setzt.
Wenn die Nutzung von US-Diensten zwingend erforderlich sein sollte, sollte dies entsprechend dokumentiert werden und gleichwohl weitere MaĂnahmen ergriffen werden, um die Dienste so rechtskonform einzusetzen, wie möglich.
FĂŒr Fragen stehen wir natĂŒrlich jederzeit gerne zur VerfĂŒgung.