Die EU und die USA haben sich fast 3 Jahren nach dem EuGH-Urteil und der Aufhebung des „Privacy Shield“ Abkommens auf ein neues Abkommen für die Regelung des Datentransfers zwischen den beiden Kontinenten geeinigt.
Das “Trans-Atlantic Data Privacy Framework” soll endlich Rechtssicherheit bieten und den Einsatz von amerikanischen Dienstleistern wie Mailchimp, Salesforce, Hubspot & Co. wieder legal möglich machen.
Doch kehrt damit nun endlich Sicherheit ein? Wir haben dazu die häufigsten Fragen beantwortet.
Wieso gibt es überhaupt ein neues Abkommen?
Um es ganz kurz zu machen (wir haben in unserem Blog-Artikel Das Ende von Privacy Shield und die Folgen für E-Mail Marketing bereits ausführlich über die Hintergründe berichtet):
Die USA gelten als „nicht-sicheres“ Drittland, was den Datenschutz und damit den Transfer von personenbezogenen Daten betrifft. So ist der Einsatz von vielen amerikanischen Applikationen rechtlich nicht ohne weiteres möglich.
Deshalb gab es mittlerweile zwei Abkommen, die eine sichere Grundlage für den Datentransfer schaffen sollten. Doch beide wurden vom EuGH als unzureichend aufgehoben.
Das letzte Urteil war im Jahr 2020. Seitdem können Mailchimp & Co. durch europäische Unternehmen in der Praxis kaum sinnvoll legal eingesetzt werden.
Aufgrund des enormen wirtschaftlichen und politischen Drucks wurde deshalb nun ein neues Abkommen verhandelt: Das “Trans-Atlantic Data Privacy Framework.
Was ist nun anders?
Das ist im Grunde bereits die Gretchenfrage. Leider wurden die meisten grundlegenden Probleme, weshalb der EuGH das Privacy Shield für ungültig erklärt hatte, nicht beseitigt.
Ja, es gibt ein paar Verbesserungen, so wurde beispielsweise der Ombudsmann etwas gestärkt.
Doch im Grunde ist das neue Abkommen nur eine Kopie der beiden bisherigen – gescheiterten – Abkommen. Denn die USA waren nicht bereit, ihre rechtlichen Rahmenbedingungen (insb. FISA, den „Foreign Intelligence Surveillance Act) zu reformieren und ein akzeptables Datenschutz-Niveau für EU-Bürger zu gewährleisten.
Nach wie vor können US-Behörden damit Zugriff auf die personenbezogenen Daten von EU-Bürgern erlangen, wenn dafür amerikanische Dienstleister eingesetzt werden. Ohne dass dagegen Rechtsmittel eingelegt werden können und ohne, dass die Betroffenen überhaupt darüber informiert werden. Das ist mit den Grundsätzen der DSGVO unvereinbar.
Kann ich Mailchimp & Co. jetzt (wieder) einsetzen oder nicht?
Aus meiner Sicht: Kurzfristig ja. Denn derzeit gibt es mit dem Abkommen eine gültige Rechtsgrundlage, auf Basis dessen ein Datentransfer in die USA argumentiert werden kann.
Das Problem: So gut wie alle Datenschutz-Experte prophezeien, dass auch das neue Abkommen vor dem EuGH landen – und von diesem gekippt wird.
So hat Max Schrems von der Datenschutz-NGO noyb bereits angekündigt, die Entscheidung dem EuGH vorzulegen.
Somit ist also sehr wahrscheinlich, dass in absehbarer Zeit (vermutlich 2024) der EuGH auch das neue Abkommen für unzureichend erklären und dass damit erneut die Rechtsgrundlage für den Einsatz amerikanischer Dienstleister wegfallen wird.
Die Rechtsunsicherheit wird damit also leider verlängert. Für alle beteiligten Unternehmen ist das überaus ärgerlich und unbefriedigend.
Und wenn das Abkommen „hält“?
Auch wenn das aus Sicht der Experten sehr unwahrscheinlich ist: Wenn das Abkommen nicht vor dem EuGH landet oder wenn dieser es doch für ausreichend halten sollte, dann gelten die USA nicht mehr als „unsicheres Drittland“ – genau so wie Länder wie Japan, die Schweiz oder Neuseeland (für diese und andere gibt es bereits lange einen Angemessenheitsbeschluss der EU).
Was sollten Unternehmen jetzt tun?
Die gute Nachricht: Der unmittelbare Handlungsdruck ist durch das neue Abkommen derzeit gering. Denn schließlich gibt es aktuell eine gültige Regelung.
Planungs- und Investitions-Sicherheit sieht freilich anders aus. Deshalb sollten europäische Unternehmen dann doch überlegen, sich nach einer europäischen Alternative umzusehen. Für die meisten amerikanischen Tools gibt es in Europa schließlich durchaus sehr gute Alternativen.
Über den Autor
Michael Kornfeld ist mit einer über 25-jährigen Laufbahn ein leidenschaftlicher Verfechter von E-Mail-Marketing. Er hält zahlreiche Seminare und Fachvorträge und zählt zu den renommiertesten Experten Österreichs auf diesem Gebiet.