Privacy Shield ist tot. Es lebe das EU-US Data Privacy Framework?

US-Präsident Joe Biden © Gage Skidmore, CC BY-SA 2.0

US-Präsident Biden hat heute, am 7. Oktober 2022 eine lange erwartete (und verhandelte) Executive Order unterzeichnet, mit der die USA zusagen, ihr staatliches Durchgriffsrecht auf Daten US-amerikanischer Unternehmen einzuschränken.

Über viele Jahre fiel ein transatlantisches Datenschutz-Abkommen nach dem anderen der Inkonsistenz zwischen der europäischen und US-amerikanischen Rechtsordnung zum Opfer. US-Behörden konnten unter relativ vereinfachten Bedingungen auf die Daten jener Unternehmen zugreifen, die ihre Headquarters in den USA haben. Europäische Behörden können nur unter relativ erschwerten Bedingungen auf Daten von Unternehmen zugreifen (unter Nachweis eines begründeten Verdachts auf eine Straftat und mit richterlicher Genehmigung).

Für europäische Unternehmen bedeutete das viele Jahre an Rechtsunsicherheit beim internationalen Datenaustausch oder einfach nur bei der Nutzung von Cloud-Dienstleistungen. US-amerikanische Cloud-Anbieter waren bisher mit dem Problem konfrontiert, dass die Behörden der USA auf alle Daten zugreifen konnten, über die Unternehmen mit Headquarters in den USA verfügen bzw. die auf deren Servern gespeichert waren. Eine Niederlassung eines solchen US-Unternehmens etwa in Deutschland musste daher genauso damit rechnen, dass auf ihre Server mit Kundendaten zugegriffen würde. Dies wiederum widersprach den Datenschutzbestimmungen der meisten europäischen Staaten und jenen der EU.

Lange Zeit war argumentiert worden, europäische Niederlassungen von US-Anbieter könnten in ihren Verträgen mit europäischen Kunden ausschließen, dass seitens der US-Behörden Daten eingesehen würden. Letztlich war aber die ganze Zeit klar, dass Unternehmen die Gültigkeit und Anwendbarkeit der amerikanischen Rechtsordnung nicht einseitig vertraglich ausschließen können. Der Österreicher Max Schrems führte mehrere erfolgreiche Klagen in diesem Zusammenhang und wurde nicht müde, öffentlichkeitswirksam auf diese Diskrepanz hinzuweisen: Europäische Niederlassungen US-basierter Unternehmen konnten bisher beispielsweise Cloud-Dienstleistungen in Europa letztlich nicht rechtssicher anbieten.

Regelung adressiert Datenschutzbedenken der EU

Viele Organisationen und Unternehmen gingen deshalb dazu über, nur einen Teil ihrer Daten in Cloud-Speichern abzulegen, und personenbezogene Daten hinter ihrer Firewall zu archivieren, was nicht nur mühselig klingt. Wieder andere zogen ihre eigene Private Cloud hoch. In einer zunehmend digitalisierten Welt, in der US-amerikanische Unternehmen weiterhin einen großen Anteil des weltweiten Software-Business fahren wollen, lag es deshalb im zentralen Interesse dieser Anbieter, dass die USA hier zu einer Regelung kommen, die europäische Rechtsnormen und Judikatur berücksichtigt. Über viele Jahre wurde außerdem klar, dass Europa seine Rechtsnormen nicht zugunsten der Überwachungsinteressen der USA aufweichen würde.

Mit der aktuellen Executive Order adressieren die USA die Datenschutzbedenken Europas und entsprechen damit auch der Europäischen Judikatur. Gleichzeitig sichert dies auch für die US-amerikanischen Cloud- und Software-Anbieter deren europäisches Geschäft ab. Biden sagte dazu, dass dieser Schritt sowohl für Europa als auch für die USA nicht nur Datenschutzinteressen der Bürger*innen verbessere, sondern auch das Wachstum der digitalen Wirtschaft unterstütze. Es geht nämlich um nichts weniger als um die Absicherung eines Geschäftsvolumens von 7,1 Trillionen US-Dollar zwischen den USA und Europa.

Links zum Thema
White House Briefing Room, Executive Order
https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/
White House Briefing Room
https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework/
White House Fact Sheet, United States and European Commission Announce Trans-Atlantic Data Privacy Framework
https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/fact-sheet-united-states-and-european-commission-announce-trans-atlantic-data-privacy-framework/
International Association of Privacy Professionals
https://iapp.org/news/a/eu-us-agree-in-principle-to-new-transatlantic-data-agreement/

Upcoming events