Experte sieht neues Daten-Abkommen mit den USA skeptisch
Thüringens Landesdatenschützer Lutz Hasse hat rechtliche Bedenken zum neuen Datenschutzabkommen «EU-U.S. Data Privacy Framework» angemeldet. «Ich gehe davon aus, dass es nicht Bestand hat», sagte Hasse der Deutschen Presse-Agentur in Erfurt. Die Regelungen, die darin getroffen worden seien, seien zu schmalbrüstig. Er könnte sich vorstellen, dass der Europäische Gerichtshof (EuGH) das Abkommen wie schon die Vorgängervereinbarung EU-US Privacy Shield kippt.
Das neue Abkommen zwischen den USA und der EU trat erst im Juli in Kraft, drei Jahre nachdem der EuGH «Privacy Shield» gekippt hatte. Die neue Vereinbarung soll die Bedenken des Gerichts ausräumen. Der EuGH hatte den «Privacy Shield» für die Übermittlung von Daten aus Europa über den Atlantik im Juli 2020 mit der Begründung gekippt, dass das Datenschutzniveau in den USA nicht den Standards der EU entspreche. Die Richter bemängelten vor allem die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von Europäern. Für Unternehmen war durch das EuGH-Urteil große Rechtsunsicherheit beim Datentransfer zwischen den USA und der EU entstanden.
Hasse sagte, dass mit dem neuen Abkommen nun eine «Rechtsgrundlage besteht für die Datenübermittlung in die USA.» Damit sei aber noch nicht gesagt, dass das, was übermittelt werde, bereits datenschutzkonform sei. Darauf machten auch die Datenschutzbeauftragten von Bund und Ländern in einem gemeinsamen Papier aufmerksam. «Wer personenbezogene Daten in die USA übermitteln will, muss sich an das europäische Datenschutzrecht halten», heißt es darin. Hasse gehen diese Anwendungshinweise dennoch nicht weit genug, Thüringen stimmte dem Papier nicht zu und veröffentlichte stattdessen Ergänzungen.
«Wenn wir so eine Art Bedienungsanleitung geben wollen, dann müssen wir auch sagen, wo die Gefahren liegen», sagte Hasse. Seiner Meinung nach wird in dem Papier nicht ausreichend auf Risiken hingewiesen - auch mit Blick auf eine mögliche Entscheidung des EuGH. «Wenn jemand zum Beispiel sensible Schülerdaten oder Gesundheitsdaten in die USA übermittelt und der Europäische Gerichtshof hebt diese Übermittlungsgrundlage in ein, zwei Jahren auf, dann kann ich die Daten, die ich übermittelt habe in die USA, nicht zurückholen, höchstwahrscheinlich», sagte Hasse.
© dpa-infocom, dpa:230929-99-375343/2