Der Nachfolger der EU-US Privacy Shield Vereinbarung scheint in greifbare Nähe gerückt zu sein. In einer korrespondierenden Erklärung haben die EU-Kommission und die amerikanische Regierung in einem Trans-Atlantic Data Privacy Framework die Eckpunkte für einen internationalen Datenaustausch abgesteckt.
Historie:
Beide Partner haben schon in der Vergangenheit unter den Begriffen „Safe Harbor Agreement“ und „Privacy Shield“ versucht, eine Vereinbarung zu treffen, die für europäische Bürger einen fairen und rechtskonformen Umgang mit persönlichen Daten ermöglicht. Beide Vereinbarungen wurden vom EuGH als rechtswidrig bezeichnet und waren damit unwirksam.
Der EuGH hat als einen der wesentlichen Punkte an den Vereinbarungen kritisiert, dass der Zugriff von US-Sicherheitsbehörden auf personenbezogene Daten von europäischen Bürgern, vor allem auf der Grundlage des FISA Sec. 702, annähernd uneingeschränkt und ohne nennenswerten Rechtsweg möglich sei.
Zukünftig:
Der Zugriff soll nur noch in festen Grenzen möglich sein.
EU-Bürger sollen die Möglichkeit haben, bei einem „Data Protection Review Court“, einer Art Schlichtungsstelle, Beschwerden einzureichen, die dann neutral geprüft würden.
Die schon aus den beiden Versuchen vorher bekannten Zertifizierungsmechanismen für Unternehmen, die ihre eigenen internen Datenschutzgrundsätze dem europäischen Level anpassen müssen, wurden beibehalten.
- Trans-Atlantic Data Privacy Framework: https://ec.europa.eu/commission/presscorner/detail/en/FS_22_2100
- FACT SHEET: United States and European Commission Announce Trans-Atlantic Data Privacy Framework: https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/fact-sheet-united-states-and-european-commission-announce-trans-atlantic-data-privacy-framework/
- European Commission and United States Joint Statement on Trans-Atlantic Data Privacy Framework: https://ec.europa.eu/commission/presscorner/detail/en/ip_22_2087
Aktueller Stand
Aktuell befinden sich alle europäischen Unternehmen, die amerikanische Cloud-Anbieter nutzen, in einer rechtlichen Unsicherheit. Zunehmend prüfen und sanktionieren Aufsichtsbehörden den Einsatz solcher Dienste. Das Projekt Gaia X, das eine europäische, offene Alternative bieten will, bietet Unternehmen zurzeit noch nicht den Service der etablierten amerikanischen Angebote.
Umfassend beschreibt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit die Auswirkungen und notwendigen Maßnahmen: LINK
Beim Einsatz amerikanischer Cloudanbieter muss immer ein Transfer-Impact-Assessment durchgeführt werden, in dem die Risiken für die Betroffenen bewertet werden müssen.
Transfer Impact Assessment
Wir halten für die bekannten amerikanischen Cloud Anbieter wie Atlassian, Microsoft, AWS, Salesforce und co. fertige TIA vor, die nurnoch geringfügig an den konkreten Unternehmenseinsatz angepasst werden müssen.
Ausblick für die Wirtschaft
Die Ankündigung macht Hoffnung, dass im Datentransfer mit den USA und den noch konkurrenzlosen amerikanischen Cloud-Anbietern Rechtssicherheit eintritt.
