Datenaustausch mit den USA – was ist neu?
Im Datenschutz lagen die USA und Europa lange nicht auf einer Linie. Die Amerikaner waren wesentlich liberaler in ihrer Gesetzgebung als wir. Nun haben beide Seiten mit dem „Data Privacy Framework“ einen neuen Datenschutzrahmen vereinbart. Die bisherigen beiden Vorgänger-Vereinbarungen waren vom EuGH gekippt worden. Mit dem neuen Datenschutzrahmen EU–USA soll nun im dritten Anlauf der Transfer von personenbezogenen Daten in die USA auf einem rechtlich tragfähigen Fundament möglich sein.
Datenschutzbestimmungen sind auch für den Personalrat relevant
Da Datenschutz auch ein wichtiges Feld im Arbeitsbereich der Arbeitnehmervertretenden wie Personalräte ist, hat dies auch Auswirkungen auf diese. Das Gesetz weist an vielen Stellen eine datenschutzrechtliche Mitverantwortung aus. Wenn auch das Arbeitnehmergremium an sich kein Mitbestimmungsrecht beim Datenschutz hat, so wirken sich diese Pflichten dennoch auf die IT-Mitbestimmung des Personalrats aus. Das betrifft insbesondere die IT-Systeme im Unternehmen oder Institut. Wenn diese nicht entsprechend den Vorschriften der Datenschutz-Grundverordnung (DSGVO) betrieben werden, sollten Personalräte Kritik äußern oder sie gar ablehnen. Hier stehen besonders IT-Systeme im Fokus, bei denen eine Datenübermittlung in die USA stattfindet, wie derzeit Microsoft 365.
Übermittlung personenbezogener Daten in ein Drittland
Voraussetzung für die Übermittlung personenbezogener Daten in ein Drittland ist der sogenannte Angemessenheitsbeschluss, d.h. die EU-Kommission hat dem entsprechenden Land ein angemessenes Schutzniveau attestiert, das der DSGVO gleichwertig ist. Für Datenübermittlungen in die USA bestand dies im „Safe-Harbor-Beschluss“ und im „EU-US Privacy Shield“. Diese sind aber nicht mehr geltend, seit der Europäische Gerichtshof beide Angemessenheitsbeschlüsse in seinen Entscheidungen Schrems I und Schrems II ablehnte. Als problematisch erachteten die Richter unter anderem, dass die US-amerikanischen Unternehmen sich selbst zertifizieren konnten und es keine Kontrolle über die Einhaltung der Grundsätze vonseiten der amerikanischen Behörden gab. Des Weiteren kritisierten die Europäer, dass die US-Behörden fast uneingeschränkten Zugang zu personenbezogenen Daten von EU-Bürgern auf Servern in den USA haben.
Verbesserungen durch das „Data Privacy Framework“
Mit der neuen Regelung sollen US-Nachrichtendienste nur auf personenbezogene Daten aus der EU zugreifen können, wenn dies notwendig und verhältnismäßig ist. Darüber hinaus erhalten EU-Bürger und -Bürgerinnen einige neue Rechte gegenüber den Daten empfangenden US-Unternehmen. Damit sind sie künftig in der Lage, den Zugang zu ihren Daten, die Löschung oder die Berichtigung unrichtiger oder unrechtmäßiger Daten durchzusetzen.
Obwohl nach Aussage der Präsidentin der EU-Kommission Ursula von der Leyen das EU-U.S. Data Privacy Framework einen sicheren Datenverkehr für die Europäerinnen und Europäer gewährleisten und für Unternehmen Rechtssicherheit bringen soll, ist die Stimmung in den deutschen Datenschutzaufsichtsbehörden im Hinblick auf den Angemessenheitsbeschluss nicht überall gleichermaßen gut. Es bleibt spannend, wie sich der neue am 10. Juli 2023 verkündete Angemessenheitsbeschluss der Kommission zum ausgehandelten EU-USA-Datenschutzrahmen „Data Privacy Framework“ bewährt.
