Blog-Übersicht
Software und Datenschutz: EU-US Data Privacy Framework in Kraft
Software und Datenschutz: EU-US Data Privacy Framework in Kraft
Die europäische Kommission hat am 10.7.2023 eine neue Grundlage für einen Datentransfer zwischen der EU und den USA angenommen. Nach Annahme des EU-US Data Privacy Frameworks können EU-Unternehmen personenbezogene Daten in die USA übermitteln, sofern sich diese dem EU-US Data Privacy Framework unterwerfen: https://www.dataprivacyframework.gov/s/participant-search.
Mit dieser Annahme bestätigt die EU, dass die USA ein angemessenes Datenschutzniveau, vergleichbar mit jenem der EU, bietet.
Datentransfer in die USA: Eine "never ending story"?
Die Historie über den Austausch personenbezogener Daten in die USA ist lang - und durchaus sehr politisch geprägt. Zunächst wurde das Safe-Harbour-Abkommen aufgehoben, danach am 16.7.2020 (C-311/18) deren Nachfolger das Privacy Shield Abkommen durch den EuGH. Dieser hatte das Privacy Shield Abkommen für ungültig erklärt, weil das durch den EuGH bewertete US-Recht kein angemessenes Schutzniveau bat. Springender Punkt war Section 702 FISA und die Executive Order 12 333, welche es US-Geheimdiensten relativ einfach macht, auf personenbezogene Daten zuzugreifen.
EU-US Data Privacy Framework: Schrems III "ante portas"?
Treibende Kraft sowohl hinter der Aufhebung des Safe-Harbour-Abkommens als auch des Privacy-Shield-Abkommen war der österreichische Jurist und Datenschutzaktivist Mag. Schrems. Dieser ist auch aktuell der Meinung, dass das Abkommen weniger Veränderung bringt und dass es weitgehend um eine Kopie deren Vorgänger handelt. Er kündigt an, auch dieses Abkommen durch den EuGH prüfen zu lassen. Eine diesbezügliche Entscheidung kann wohl 2025 erwartet werden. Bis dahin bietet das EU-US Data Privacy Framework jedenfalls eine rechtmäßige Grundlage für einen Datentransfer.
Auswirkung auf Softwarerecht: Konkrete Änderungen
Mit dem neuen Abkommen werden neue verbindliche Garantien eingeführt, um dem vom EuGH geäußerten Bedenken zu begegnen. So ist vorgesehen, dass der Zugang von US-Geheimdiensten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist. Die Geheimdienste dürfen nur auf die Daten zugreifen, wenn es zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist. Außerdem soll ein Gericht zur Überprüfung des Datenschutzes eingerichtet werden. Das Gericht soll feststellen, ob die vereinbarten Garantien tatsächlich eingehlaten werden. Zu diesem Data Protection Review Court sollen auch Einzelpersonen Zugang haben. Eingehende Beschwerden sollen unabhängig untersucht und behandelt werden.
Für die Softwarebranche bietet das Abkommen Rechtsklarheit und ist daher jedenfalls zu begrüßen.
Blog-Übersicht