Für die E-Commerce-Unternehmen in der EU ist die Welt wieder ein bisschen einfacher geworden, zumindest was den Datenschutz angeht: Die Europäische Kommission hat im Juli mit dem „EU-U.S. Data Privacy Framework“ den neuen Angemessenheitsbeschluss angenommen und somit eine neue rechtliche Grundlage für die Zusammenarbeit von EU-Unternehmen mit US-amerikanischen Dienstleistern und die Datenverarbeitung geschaffen. Das Vorgänger-Abkommen Privacy Shield war vor drei Jahren vom EuGH für unzulässig erklärt worden.
Grund für das Gerichtsurteil war damals unter anderem, dass US-Behörden Zugriff auf die Server von US-Unternehmen und somit auch auf die Daten von EU-Unternehmen und ihrer Kunden hatten. Unternehmen der EU dürfen jedoch nur dann mit Anbietern aus Drittstaaten zusammenarbeiten und Daten auf deren Servern verarbeiten, wenn dort ein datenschutzrechtliches Schutzniveau wie in der Europäischen Union gewährleistet werden könne. Hier gibt seit ihrem Inkrafttreten 2018 die Datenschutzgrundverordnung (DSGVO) den rechtlichen Rahmen vor. Nicht-EU-Staaten wird über sogenannte Angemessenheitsbeschlüsse die Einhaltung der wichtigsten Kriterien bestätigt und die Verarbeitung personenbezogener Daten damit als rechtskonform und unbedenklich eingestuft. Solche Angemessenheitsbeschlüsse gibt es für eine Reihe an Ländern, nachzulesen auf der Webseite der Europäischen Kommission.
Nachdem das Privacy Shield vor drei Jahren für unzulässig erklärt wurde, war der Einsatz von Google Analytics, Microsoft-Lösungen und Co., um nur einige zu nennen, streng genommen rechtswidrig. Seitdem sei auf amerikanischer Seite jedoch deutlich nachgebessert worden. Wie die Europäische Kommission erklärt, führt der neue EU-US-Datenschutzrahmen unter anderem „neue verbindliche Garantien ein, um alle vom Europäischen Gerichtshof geäußerten Bedenken auszuräumen, einschließlich der Beschränkung des Zugriffs auf EU-Daten durch US-Geheimdienste auf das Notwendige und Verhältnismäßige und die Einrichtung eines Datenschutzüberprüfungsgerichts (Data Protection Review Court, DPRC).“ Dieses könne im Falle eines Verstoßes gegen die neuen Garantien die Löschung der Daten anordnen. Außerdem soll der neue Angemessenheitsbeschluss nun regelmäßig von der EU-Kommission und von Vertretern der Datenschutzbehörden kontrolliert werden. Wer noch mehr Details zu den neuen „EU-U.S. Data Privacy Frameworks“ erfahren will, kann sich den Angemessenheitsbeschluss im Wortlaut hier durchlesen.
Für europäische Unternehmen im Allgemeinen und E-Commerce-Anbieter wie Onlinedruckereien im Speziellen ist der neue Angemessenheitsbeschluss daher eine gute Nachricht. Wie der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) schreibt, sollen damit personenbezogene Daten aus der EU wieder an die USA fließen können, ohne dass die Unternehmen dafür zusätzliche Maßnahmen ergreifen oder bestimmte Übermittlungsinstrumente einsetzen müssen. Eine Einschränkung gibt es jedoch auch hier: Denn der neue Datenschutzrahmen gilt nicht pauschal für alle US-Unternehmen, sondern nur für diejenigen, die entsprechend des EU-U.S. Data Privacy Frameworks zertifiziert sind.
Europäische Unternehmen müssen daher auch künftig zuerst prüfen, ob die Anbieter der von ihnen genutzten Dienste nach dem neuen Datenschutzrahmen zertifiziert sind. Dafür gibt es eine eigens eingerichtete, allerdings englischsprachige Webseite der US-Behörden, auf der man gezielt suchen kann. Good news: Die beiden großen IT-Schwergewichte Google und Microsoft sind natürlich bereits zertifiziert.
