Der Transfer von personenbezogenen Daten in die USA wird nun zum dritten Mal ein Fall für den EuGH.
Die Vorgeschichte in 3 Absätzen.
Datenschutzrechtlich gelten die USA als nicht-sicheres Drittland und ein Transfer von personenbezogenen Daten ist grundsätzlich unzulässig. Deshalb gab es bereits zwei Abkommen zwischen der EU und den USA (Safe Harbor und Privacy Shield), auf Basis derer ein Datentransfer möglich gemacht wurde.
Doch beide Abkommen wurden vom EuGH für unzulässig erklärt, zuletzt das Privacy Shield im Juli 2020. Denn der EuGH teilte die Auffassung vieler Datenschützer – darunter Max Schrems von noyb – dass offensichtlich das Datenschutz-Niveau in den USA nicht den Grundsätzen der DSGVO entspricht und die Daten der EU-Bürger nicht ausreichend geschützt würden.
Deshalb wurde ein Jahr später (Juli 2023) ein neues Abkommen, das Data Privacy Framework (DPF), zwischen der EU und den USA abgeschlossen. Doch bereits damals war die Kritik laut, da es nur marginale Verbesserungen zu den früheren Abkommen brachte.
Auch das DPF landet nun vor dem EuGH.
Der französische EU-Abgeordnete Latombe legt kürzlich beim Europäischen Gerichtshof Rechtsmittel gegen ein Urteil des EU-Gerichts (EUG) ein, das seiner Beschwerde gegen das DPF nicht stattgegeben hatte.
Damit wird also auch das dritte Abkommen durch den EuGH überprüft werden.
Aber weshalb gibt es wieder eine Klage?
Für viele Unternehmen ist das unverständlich: Brachte das DPF denn keine Verbesserungen?
Die traurige Antwort: Nein, nicht wirklich.
Einerseits muss beispielsweise die Überwachung durch die USA nun „verhältnismäßig“ sein und es gibt ein „Gericht“, das europäische Bürger im Falle von Streitigkeiten anrufen können. Es gab also (kleinere) Verbesserungen.
Andererseits haben die USA weiterhin gar nicht vor, ihre Massenüberwachungssysteme einzuschränken. Und amerikanische Unternehmen müssen sich nach wie vor nicht an grundlegende Bestimmungen der DSGVO halten (z.B., dass zwingend eine Rechtsgrundlage für eine Datenverarbeitung benötigt wird).
Im Ergebnis sind die Daten der EU-Bürger auch durch das DPF nach Meinung der meisten Datenschützer nicht ausreichend geschützt.
Das wird durch die erratische Politik der Trump-Administration noch weiter verstärkt. Darüber haben wir bereits in unserem Artikel „Sind amerikanische Anbieter bald wieder illegal?“ berichtet.
Was bedeutet das für EU-Unternehmen?
Vorerst hat die Klage vor dem EuGH keine unmittelbaren Konsequenzen. Denn es wird vermutlich mehrere Monate (wenn nicht das eine oder andere Jahr) dauern, bis der EuGH sich mit dem Thema auseinandersetzen wird.
Bis dahin ist das DPF weiter in Kraft. Und auch wenn es überaus wacklige Beine sind, können sich Unternehmen darauf berufen, dass es eine gesetzliche Grundlage für den Einsatz von amerikanischen Anbietern gibt.
Allerdings schwebt über all dem das Damoklesschwert des nächsten EuGH-Grundsatzurteils zu diesem Abkommen. Denn in der Vergangenheit wurden beide bisherigen Abkommen für ungültig erklärt und boten sofort danach keine rechtliche Grundlage mehr.
Der Einsatz von vielen amerikanischen Tools wurde damit über Nacht illegal. Ohne Übergangsfrist oder sonst etwas.
Damit wären Unternehmen, die derzeit amerikanische Anbieter einsetzen, gut beraten, zumindest über einen Plan B nachzudenken. Damit sie von einem EuGH-Urteil nicht kalt erwischt werden – wie das vor fünf Jahren bei vielen bereits der Fall war.
Über den Autor
Michael Kornfeld ist mit einer über 25-jährigen Laufbahn ein leidenschaftlicher Verfechter von E-Mail-Marketing. Er hält zahlreiche Seminare und Fachvorträge und zählt zu den renommiertesten Experten Österreichs auf diesem Gebiet.