Von der Leyen und US-Präsident Joe Biden hatten im Frühjahr 2022 eine Grundsatzeinigung bei Datenschutzfragen verkündet.
Brüssel Die EU-Kommission hat den Datenschutz in den USA für gleichwertig erklärt. Damit schafft die Behörde eine neue Rechtsgrundlage für Unternehmen, die Daten von EU-Bürgern nach Amerika schicken wollen.
Für Unternehmen auf beiden Seiten des Atlantiks ist es ein wichtiger Durchbruch. Seit der Europäische Gerichtshof (EuGH) 2020 das europäisch-amerikanische Datenabkommen „Privacy Shield“ für rechtswidrig erklärt hat, ist die Rechtslage unsicher.
Das neue „Data Privacy Framework“ sei solide und erfülle alle Bedingungen des EuGH, sagte EU-Justizkommissar Didier Reynders am Montag in Brüssel. Die verbindlichen Regeln begrenzten den Zugriff von US-Geheimdiensten auf die Daten von Europäern auf ein „notwendiges und angemessenes“ Maß. Auch gebe es nun einen wirksamen Weg für europäische Bürger, in den USA gegen Verstöße zu klagen.
Die sogenannte Äquivalenzentscheidung der Kommission folgt auf jahrelange bilaterale Verhandlungen darüber, wie die USA die europäischen Datenschutzanforderungen erfüllen könnten. US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen hatten im März 2022 eine Grundsatzeinigung verkündet. Danach folgten viele Runden zu den rechtlichen Details.
Vergangene Woche gab die Biden-Regierung schließlich bekannt, alle mit den Europäern vereinbarten Schritte im US-Recht umgesetzt zu haben. Dies ebnete den Weg für die Kommission, nun den Datenschutz in den USA als gleichwertig anzuerkennen.
Wirtschaftsverbände begrüßten die Entscheidung der Kommission. Der Präsident des Digitalverbands Bitkom, Ralf Wintergerst, sagte, damit gehe eine „dreijährige Hängepartie“ zu Ende. Unternehmen erhielten grundsätzlich wieder Rechtssicherheit, wenn sie personenbezogene Daten zwischen der EU und den USA transferieren müssten.
Max Schrems kündigt Klage gegen das Abkommen an
Allerdings würde die Neuregelung sicher erneut von den Gerichten überprüft. „Dort wird sich zeigen, ob der EU-Gesetzgeber mit dem Data Privacy Framework eine rechtlich belastbare Regelung gefunden hat“, sagte Wintergerst.
Der Datenschutzaktivist Max Schrems kündigte am Montag sogleich eine neue Klage an. „Sie sagen, die Definition von Wahnsinn sei es, immer wieder das Gleiche zu tun und ein anderes Ergebnis zu erwarten“, sagte er.
Der Österreicher hat bereits zwei transatlantische Datenabkommen zu Fall gebracht. 2015 kassierte der Europäische Gerichtshof nach einer Schrems-Klage das Abkommen „Safe Harbor“, 2020 dann den Nachfolger „Privacy Shield“.
Auf Twitter schrieb Schrems, die neue Vereinbarung sei „weitgehend eine Kopie alter Prinzipien“. Die US-Regierung sei weiterhin der Ansicht, dass nur amerikanische Staatsbürger verfassungsrechtlich geschützte Grundrechte hätten. Auch hätten die USA und die EU ein unterschiedliches Verständnis davon, was beim Datensammeln „verhältnismäßig“ sei.
Kommission: Die Lage ist jetzt anders als 2015 und 2020
Die Kommission gab sich zuversichtlich, dass die Vereinbarung diesmal rechtlich auf festem Boden stehe. Man habe aus den vorherigen Klagen Schrems’ gelernt, auf welche Kriterien es den Richtern ankomme, sagte ein Kommissionsbeamter. Die Situation sei deshalb jetzt grundlegend anders als vor den beiden Gerichtsentscheidungen. Wenn es nun erneut eine Klage gebe, werde es darum gehen, ob die Bedingungen des Gerichtshofs erfüllt seien, sagte der Beamte. Aus seiner Sicht seien die zentralen Anforderungen „vollständig erfüllt“.
Die Entscheidung dürfte auch Folgen für den Facebook-Konzern Meta haben. Im Mai hatte die irische Datenschutzbehörde der Tech-Firma eine Strafe von 1,2 Milliarden Euro auferlegt, weil diese die Daten europäischer Nutzer nicht ausreichend vor dem Zugriff der US-Geheimdienste geschützt hatte.
Meta hatte Berufung gegen diese Entscheidung angekündigt. Der EU-Kommissionsbeamte sagte, die irische Datenschutzbehörde werde nun die Äquivalenzentscheidung der Kommission berücksichtigen müssen und die Lage neu beurteilen.
