Es ist geschafft! Die USA und die Europäische Union haben sich am 10.7.2023 nach mehrjährigen Verhandlungen auf neue Regeln zum transatlantischen Austausch von personenbezogenen Daten geeinigt. Zur Erklärung: Die Verarbeitung personenbezogener Daten außerhalb der EU ist nur zulässig, wenn die (sehr strengen) Voraussetzungen der Art. 44ff DSGVO erfüllt sind. In der Vergangenheit erfolgte eine Verarbeitung personenbezogene Daten in den Vereinigten Staaten (bis zu seiner Aufhebung durch den Europäischen Gerichtshof im Jahr 2015) aufgrund des sogenannten Safe-Harbor-Abkommens. Da auch das Nachfolgenabkommen (das EU-US Privacy Shield) im Juli 2020 durch den Europäischen Gerichtshof aufgehoben wurde, war die Nutzung von US-amerikanischen Diensten aus datenschutzrechtlicher Sicht nur zulässig, wenn sogenannte „Standardvertragsklauseln“ zwischen den Diensteanbietern und den Kunden vereinbart wurden.
Da die Nutzung von Standardvertragsklauseln aufwendig ist (diese müssen individuell vereinbart werden), haben die EU-Kommission und die Vereinigten Staaten mit Hochdruck an einem neuen Übereinkommen zum Datenaustausch gearbeitet. Das Ergebnis ist das „EU-U.S. Data Privacy Framework“.
Die Rechte und Freiheiten der Europäischen Bürger soll dabei durch eine „Presidential Order“ des US-amerikanischen Präsidenten sichergestellt werden (Präsident Joe Biden hat diese im Oktober 2022 erlassen).
Ob die neuen Regeln das halten, was sie versprechen, werden wir bald wissen: Der Aktivist Max Schrems (dieser hatte in der Vergangenheit bereits das Safe-Harbor-Abkommen und das US-Privacy-Shield vor dem EuGH zu Fall gebracht) hat bereits angekündigt, auch gegen die neuen Regeln eine Klage einzubringen. Bis darüber entschieden wird, werden jedoch einige Jahre vergehen.
Wie geht es weiter? US-amerikanische Unternehmen, die das „EU-U.S. Data Privacy Framework“ nutzen wollen, müssen sich zur Einhaltung einer Reihe datenschutzrechtlicher Vorgaben verpflichten und sich darüber hinaus zertifizieren lassen (das US-Handelsministerium wird die Zertifizierungsanträge von US-Unternehmen bearbeiten und überwachen). Bis die erste Zertifizierung erfolgt ist, wird wohl noch einige Zeit vergehen. Und was müssen europäische Unternehmen tun? Nichts, nur abwarten. Die Pflicht, sich zertifizieren zu lassen, trifft nämlich nur die US-amerikanischen Unternehmen.
Sollten Sie dazu Fragen haben, stehen Ihnen Markus Dörfler (markus.dörfler@h-i-p.at) sowie Alexander Koukal (alexander.koukal@h-i-p.at) gerne zur Verfügung.