Drei Jahre nach dem Aus von Privacy Shield hat die EU-Kommission ein Datenschutzabkommen zwischen den USA und der EU verabschiedet. In dem Beschluss wird gemäss
Mitteilung festgelegt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an US-Unternehmen übermittelt werden.
Mit verbindlichen Garantien, die die neue Regelung mit sich bringt, wurden dabei die Bedenken des Europäischen Gerichtshofes ausgeräumt. Dieser hatte Privacy Shield im Juli 2020 gekippt, weil das Datenschutzniveau in den USA nicht den EU-Standards entspräche. Dabei wurden insbesondere die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von Europäern kritisiert.
Künftig dürfen US-Geheimdienste laut EU-Kommission nur auf Daten zugreifen, wenn es notwendig und verhältnismässig sei. Ebenso ist geplant, ein Gericht – ein Data Protection Review Court (DPRC) – zur Überprüfung des Datenschutzes einzurichten. Stellt das Gericht zur Datenschutzüberprüfung dabei beispielsweise fest, dass bei der Datenerhebung gegen die neuen Garantien verstossen wurde, kann es die Löschung der Daten anordnen.
US-Unternehmen können sich dem Datenschutzrahmen EU-USA anschliessen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten. So müssen sie etwa personenbezogene Daten löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind. Zudem müssen sie den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.
Des Weiteren soll die Funktionsweise des Datenschutzrahmens EU-USA regelmässig gemeinsam von der Europäischen Kommission und Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden überprüft werden. Die erste Überprüfung soll binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses erfolgen.
(abr)