Die Europäische Kommission bringt nun die Angemessenheitsentscheidung auf den Weg, die das vom EuGH gekippte „Privacy Shield“ ersetzen soll. Damit soll endlich Rechtssicherheit für den Datentransfer zwischen Europa und den USA hergestellt werden.

Das Problem: Aus aktueller Sicht wird genau das Gegenteil passieren. Doch der Reihe nach.

 

Kurz: Was bisher geschah

In dem sog. Schrems II Urteil hat der EuGH im Jahr 2020 das damals bestehende Abkommen zwischen der EU und den USA für unzulässig erklärt.

Das „Privacy Shield“ Abkommen regelte den Datentransfer zwischen Europa und den USA, jedoch waren die Daten der europäischen Bürger dadurch unzureichend geschützt. Wir haben darüber in unserem Artikel „Das Ende von Privacy Shield und die Folgen für E-Mail Marketing“ berichtet.

Seit damals ist die Übertragung von personenbezogenen Daten nach Meinung der meisten Datenschutz-Experten in die USA (Hubspot, Mailchimp, Salesforce, usw.) unzulässig. In jedem Fall ist die Rechtsunsicherheit groß.

 

Was ändert nun die Angemessenheitsentscheidung?

Die Angemessenheitsentscheidung der Europäischen Kommission basiert auf der US-Executive Order 14086, die der amerikanische Präsident Joe Biden vor ein paar Monaten unterzeichnet hat.

Darin werden Zugeständnisse an die DSGVO eingeräumt, die die Schwächen des Privacy Shields beheben soll. So muss beispielsweise die Überwachung durch die USA nun „verhältnismäßig“ sein und es gibt ein „Gericht“, das europäische Bürger im Falle von Streitigkeiten anrufen können.

Das Problem: Nach Meinung vieler Experten (zum Beispiel hat Max Schrems dazu eine ausführliche Stellungnahme geschrieben) behebt die Executive Order die grundlegenden Probleme des Privacy Shields nicht einmal in Ansätzen.

Denn die USA hat beispielsweise gar nicht vor, ihre Massenüberwachungssysteme einzuschränken. Und amerikanische Unternehmen müssen sich nach wie vor nicht an grundlegende Bestimmungen der DSGVO halten (z.B., dass zwingend eine Rechtsgrundlage für eine Datenverarbeitung benötigt wird). Und so weiter.

 

Wie geht es nun weiter?

Die Angemessenheitsentscheidung wird nun an das „European Data Protection Board“ (EDPB) und die europäischen Mitgliedstaaten zur Stellungnahme geschickt. Das wird voraussichtlich mehrere Monate in Anspruch nehmen. Die Stellungnahme der EDPB ist jedoch nicht bindend.

Danach kann die Angemessenheitsentscheidung veröffentlicht werden und europäische Unternehmen können sich dann darauf berufen, wenn sie amerikanische Tools (zur Speicherung von personenbezogenen Daten) einsetzen möchten.

 

Bringt das nun endlich Rechtssicherheit?

So wie es derzeit aussieht, wird eher genau das Gegenteil der Fall sein. Denn die rechtliche Grundlage für den Datentransfer ist überaus dünn – und die Wahrscheinlichkeit daher sehr groß, dass auch diese Vereinbarung durch den EuGH gekippt werden wird.

Mehrere Datenschutz-Organisationen haben bereits angekündigt, wieder den EuGH anrufen zu wollen, um die Vereinbarung anzufechten. Dann beginnt das Spiel also wieder von vorne.

Somit wird die aktuelle Rechtsunsicherheit bzw. der überaus problematische Einsatz von amerikanischen Tools nicht behoben, sondern de facto sogar verlängert.

Das ist überaus schade. Denn das EuGH-Urteil hat hoffen lassen, dass die EU die Botschaft versteht und eine Vereinbarung verhandelt, die mit den Grundsätzen der DSGVO vereinbar ist und nicht wieder die Daten der europäischen Bürger verkauft.

Die DSGVO & E-Mail Marketing in 60 Minuten

Über den Autor

Michael Kornfeld ist mit einer über 25-jährigen Laufbahn ein leidenschaftlicher Verfechter von E-Mail-Marketing. Er hält zahlreiche Seminare und Fachvorträge und zählt zu den renommiertesten Experten Österreichs auf diesem Gebiet.

Michael Kornfeld kontaktieren