2020 berichteten wir über Googles Reaktion auf den Wegfall des Privacy Shields. Seitdem war der Datenaustausch mit den USA – was für eine Online Marketing Agentur zum ‘täglich Brot’ gehört – immer mit einer gehörigen Portion Bangen zu betrachten. Die USA wurden als unsicheres Drittland eingestuft. Doch nun ist endlich ein Aufatmen in Sicht. Nur für wie lange?
Rückblick
Lange bevor die DSGVO zum Schutz personenbezogener Daten in Europa eingeführt wurde, gab es seit der Jahrtausendwende bereits das sogenannte Safe Harbor-Abkommen zwischen EU und USA. Hierin wurde abgesprochen, dass der Datentransfer von personenbezogenen Daten in die USA legitim sei, solange die USA zusichern, dass die Daten von EU-Bürgern ähnlich geschützt werden, wie es die europäische Gesetzgebung vorsieht. Genau genommen handelte es sich um ein Versprechen, das aber bei genauerem Hinsehen von Anfang an Bedenken hätte schüren müssen, da der Patriot Act als Reaktion auf die Anschläge vom 11. September der US-Regierung umfassenden Zugriff auf eine Vielzahl sensibler Daten ermöglicht. Damals hatte bereits der Düsseldorfer Kreis (Zusammenschluss der Datenschutzbehörden) auf genau dieses Problem hingewiesen. Und selbst als Edward Snowden 2013 offenlegte, dass US-Behörden unreguliert auf Daten von Facebook und Google zugreifen, blieb das Safe Harbor-Abkommen bestehen. Erst als 2015 Max Schrems vor dem Europäischen Gerichtshof das berühmt berüchtigte “Schrems1”-Urteil erwirkte, wurde das Abkommen für ungültig erklärt.
Weil man schnell reagieren musste, wurde der Privacy Shield geschmiedet. Man kann ja mal darauf achten, welche schönen Bilder die Namen für die Absprachen, die genau genommen gar keine echten Abkommen waren, suggerieren sollen: Ein sicherer Hafen, wie herrlich geborgen man sich da fühlt, doch noch besser, ein schützendes Schild, am besten gleich das von Captain America. Mein persönlicher Vorschlag für aufrichtige Namen der beiden Versionen wäre zum Beispiel Bermuda Dreieck und sein Nachfolger, das Nudelsieb.
Auch das Nudelsieb… ich meine natürlich das Privacy Shield hatte nicht lange Bestand, und wurde 2020 durch das “Schrems2”-Urteil gekippt. In der Zwischenzeit wurde versucht, sich mit Standardvertragsklauseln über Wasser zu halten, um keine Geschäftsbeziehungen zu den USA abbrechen zu müssen und damit in einer Wirtschaftskrise zu landen. Doch diese “SCC”s, wie die Standardvertragsklauseln auf englisch abgekürzt werden, wurden von Datenschützern ebenfalls als mangelhaft eingestuft und so folgten Jahre der Zitterpartie und Angst vor enormen Bußgeldern. Bis zum Juli 2023…
Das EU-U.S. Data Privacy Framework
Wenn Sie nicht viel Zeit haben, können Sie auch einfach kurz EU-US DPF sagen, denn nach den schön klingenden Wortbildern hat man sich jetzt wohl gedacht: “DS-GVO hat keinen schönen Namen, klingt über alle Maßen bürokratisch und dagegen hat noch keiner was gesagt – nehmen wir jetzt mal lieber ein Acronym. Das klingt besonders durchdacht und vertrauenserweckend.”
Am 10. Juli 2023 wurde nun also der Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework verabschiedet. Dieser besagt, dass nun wieder bedenkenlos personenbezogene Daten in die USA übermittelt werden dürfen und dementsprechend keine weiteren besonderen Maßnahmen zum Schutz dieser Daten durch europäische Unternehmen sichergestellt werden müssen.
Aber Moment, was genau hat sich denn nun an der Datenschutz-Lage in den USA geändert, dass alles, wovor wir bis vor Kurzem noch bangen mussten, jetzt auf einmal so sicher sein soll?
Nun, die Freigabe des Datentransfers ist nicht automatisch auf alle US-Unternehmen anwendbar. Seit dem 17. Juli gibt es eine Liste, in der ‘zertifizierte’ Organisationen zu finden sind. Diese Liste sollte man also als Erstes zu Rate ziehen. Steht die Organisation, an die man Daten übermitteln möchte, aber in der Liste, bescheinigt der BfDI (Bundesbeauftragter für den Datenschutz und Informationsfreiheit): „Für Betroffene und Datenexporteure besteht damit jetzt erst einmal Rechtssicherheit.„
Natürlich hat es keinen Wimpernschlag gedauert, da hatte ich bereits ‘Google’ eingetippt, und siehe da: Die Google LLC mit Sitz in Mountain View, Kalifornien, steht auf ‘aktiv’.
Screenshot Betty Bier vom 17.07.23
Wie am Ende eines schönen Märchens, das man abends den Kindern vorliest, hätte ich an dieser Stelle auch sehr gerne den Blogartikel beendet mit ‘und sie lebten glücklich und zufrieden bis an ihr Lebensende’…
Aber ich musste ja unbedingt noch recherchieren, wie die Zertifizierung, auf die sich die offizielle Liste stützt, abläuft. Und so kam ich dahinter, dass Unternehmen, die sich bereits unter dem Schirm des Privacy Shields haben zertifizieren lassen, automatisch auch die Zertifizierung im Data Privacy Framework erhalten haben. Und diese Zertifizierung war eine reine Selbstzertifizierung. Es kam kein Prüfer von einer externen Behörde oder Ähnlichem. Google hat (sehr versimpelt) ein Formular ausgefüllt, in dem sie bestätigen, dass sie selbst der Meinung sind, dass sie personenbezogene Daten von EU-Bürgern ausreichend schützen. Aber dieser Meinung waren sie auch schon während Safe Harbor.
Man kann, wenn man ganz genau hinhört, bereits die Mitarbeiter bei NOYB, der Datenschutzorganisation von Max Schrems, in die Tastaturen hämmern hören, um die Anklageschrift für “Schrems3” fertig zu schreiben. Und nicht nur die haben eine Klage gegen das EU-US DPF angekündigt. Der Lichtblick (wenn man es so sehen möchte) ist allerdings, dass die Zahnräder der europäischen Gerichtsbarkeit so langsam arbeiten, dass wieder vier bis fünf Jahre ins Land gehen werden, bis das DPF gekippt wird. Und zumindest kann man sich bis dahin in gutem Glauben gegenüber deutschen Behörden darauf berufen.