EU-US Data Privacy Framework – nur eine temporäre Lösung?

Das EU-US Data Privacy Framework trat am 11. Juli 2023 in Kraft. Es ist der Nachfolger des EU-US Privacy Shields, das im Jahr 2020 vom Europäischen Gerichtshof als unzureichend angesehen und für ungültig erklärt wurde. Es bleibt jedoch abzuwarten, ob das neue Abkommen eine dauerhafte Lösung für den transatlantischen Datenschutz bietet.

Was ist das EU-US Data Privacy Framework?

Das EU-US Data Privacy Framework ist ein Abkommen zwischen den Vereinigten Staaten und der Europäischen Union. Es wurde geschaffen, um den transatlantischen Datentransfer zu regeln und den Schutz personenbezogener Daten sicherzustellen. Jedoch stößt das neue Abkommen schon seit dessen Inkrafttreten am 11. Juli 2023 auf Kritik und rechtliche Herausforderungen. Die Europäische Kommission und die Vereinigten Staaten haben das Framework zwar als wirksames Instrument zum Schutz der Privatsphäre bezeichnet, doch Datenschutz-Watchdogs wie zum Beispiel NOYB zweifeln an ihrer Rechtmäßigkeit. Die rechtliche Situation ist weiterhin instabil, und es besteht die Möglichkeit, dass der Nachfolger von Privacy Shield und Safe Harbor ebenfalls vor Gericht angefochten wird.

Das neue Datenschutzabkommen wird angefochten – Rechtslage weiterhin unstabil

Drei Jahre nach der Annullierung des EU-US-Privacy Shields besteht wieder Rechtssicherheit für den transatlantischen Datentransfer. Die Frage ist: wie lange?

Das Safe-Harbor-Abkommen hatte 15 Jahre Bestand, bis es im Jahr 2015 vom EU-Gerichtshof für ungültig erklärt wurde. Das im Jahr 2016 eingeführte EU-US-Privacy Shield hatte rund vier Jahre Bestand, bis es im Juli 2020 dem gleichen Schicksal erlag.

Doch das EU-US Data Privacy Framework könnte noch kurzlebiger sein: NOYB hat bereits angekündigt, gegen das neue Abkommen vor dem Europäischen Gerichtshof zu klagen. Bereits Ende 2023 könnte der EU-Gerichtshof das Abkommen aussetzen, bis es eine Entscheidung zu dessen Rechtsgültigkeit gefällt hat. Letzteres wird für 2024 oder 2025 erwartet. Die Wahrscheinlichkeit einer erneuten Annullierung des Datenschutzabkommens zwischen der EU und den USA ist sehr hoch. Denn NOYB sieht in dem neuen Abkommen keine substanzielle Verbesserung gegenüber den Vorgängern.

Der Hauptkritikpunkt ist, dass EU-Bürger laut US-Recht weiterhin nicht rechtlich mit US-Bürgern gleichgestellt werden, wenn es um Datenschutzrechte geht. So können sie auf der Grundlage von FISA 702 – einem US-Gesetz, das die weltweite geheimdienstliche Überwachung von Nicht-US-Bürgern reguliert – weiterhin ohne konkreten Anlass und ohne Gerichtsbeschluss von US-Geheimdiensten ausspioniert werden.

Interessanterweise verstoßen die US-Überwachungsgesetze laut NOYB nicht nur gegen mehrere Artikel der EU-Grundrechtecharta, sondern auch gegen den 4. Zusatz der US-amerikanischen Verfassung.

Wie sollen Unternehmen in Österreich jetzt reagieren?

Angesichts der unstabilen Situation sollten Unternehmen vorsichtig agieren und sich nicht ausschließlich auf das neue Abkommen verlassen. Die aktuell wiederhergestellte Rechtssicherheit gibt den Unternehmen nur etwas mehr Zeit, ihre Systeme und Datenverarbeitung nachhaltig datenschutzkonform aufzustellen, ohne gleichzeitig damit rechnen zu müssen, jederzeit ins Visier der Datenschutzbehörden zu geraten. Mit „Nachhaltig datenschutzkonform“ ist gemeint, dass die Unternehmen selbst bei einer Annullierung des Trans-Atlantic Data Privacy Frameworks die Privatsphäre von personenbezogenen Daten gewährleisten können.

Daher ist es ratsam, sich weiterhin nach IT-Lösungen und Software umzusehen, die in puncto Datenschutz nicht der Gesetzgebung von sogenannten unsicheren Drittstaaten unterliegen. Solange das neue Abkommen gültig ist, gehören die USA zwar wieder zu den sicheren Drittstaaten. Doch es ist wahrscheinlich, dass sie diesen Status wieder verlieren werden.

Auf der sicheren Seite sind Unternehmen, wenn die gewählten Lösungen aus Ländern kommen, in denen die DSGVO gilt: alle EU-Mitgliedstaaten sowie Island, Liechtenstein und Norwegen. Bei Lösungen aus anderen als den oben genannten Ländern empfehlen wir, sich rechtlich beraten zu lassen. Ein proaktives Vorgehen und kontinuierliche Überwachung der rechtlichen Entwicklungen sind unerlässlich, um die Compliance mit den geltenden Datenschutzbestimmungen sicherzustellen.

Beispiel Web Analytics: Piwik PRO als Alternative zu Google Analytics

Besonders im Bereich des Web Analytics, also der Analyse von Daten im Online-Bereich, ist es essenziell, dass sensible Informationen geschützt und rechtskonform verarbeitet werden. Aufgrund der oben beschriebenen instabilen Rechtssituation bleibt die Frage nach einer geeigneten Alternative zu etablierten Web-Analytics-Tools wie Google Analytics weiterhin im Fokus. Unternehmen sollten deshalb in Erwägung ziehen, alternative Lösungen für Web Analytics zu nutzen, anstatt sich ausschließlich auf Google Analytics zu verlassen.

Hier kommt Piwik PRO ins Spiel. Als europäische Web-Analytics-Plattform bietet Piwik PRO eine datenschutzkonforme Alternative zu Google Analytics. Durch die Verwendung von On-premise- oder Cloud-Hosting-Lösungen ermöglicht Piwik PRO Unternehmen, die volle Kontrolle über ihre Daten zu behalten und diese gemäß den europäischen Datenschutzbestimmungen zu verarbeiten. Dadurch wird die Abhängigkeit von Abkommen zwischen der EU und Drittstaaten minimiert. Piwik PRO bietet zudem Funktionen wie Anonymisierung von IP-Adressen, Opt-Out-Möglichkeiten für Nutzer und eine umfassende Verschlüsselung der Datenübertragung.

Unternehmen können somit ihre datengetriebenen Entscheidungen treffen und gleichzeitig die Privatsphäre ihrer Kunden respektieren. Insbesondere in Zeiten, in denen der Datenschutz ein zentrales Thema ist und die gesetzlichen Anforderungen zunehmend strenger werden, ist es wichtig, auf eine zuverlässige und rechtskonforme Web-Analytics-Lösung zu setzen.

Fazit: Verlassen Sie sich nicht auf das EU-US Data Privacy Framework

Zusammenfassend kann festgehalten werden, dass das EU-US Data Privacy Framework leider nicht die erhoffte Stabilität bietet, da dessen Anfechtung bereits in die Wege geleitet wird. Unternehmen in Österreich sollten daher vorsichtig sein und alternative Lösungen in Betracht ziehen. Es ist wichtig, sich nicht nur auf ein einziges Datenschutzabkommen zu verlassen.

Hinweis: Dieser Artikel stellt keine rechtliche Beratung dar.