de en
unsplash

Erleichterter Datentransfer in die USA - EU-Kommission verabschiedet EU-U.S. Data Privacy Framework

11.07.2023 | 4 Minuten Lesezeit

Die EU-Kommission hat am 10.07.2023 ihren Angemessenheitsbeschluss für das Datenschutzrahmen-Abkommen zwischen der EU und den USA, das sog. EU-U.S. Data Privacy Framework, unterzeichnet. Damit besteht für die Übermittlung personenbezogener Daten an US-Unternehmen, die sich im Rahmen des neuen Privacy Frameworks zertifiziert haben, ein angemessenes Datenschutzniveau.

Worum geht es?

Die Übermittlung personenbezogener Daten ins Drittstaaten außerhalb der EU ist nach der DSGVO nur zulässig, wenn dort ein angemessenes Datenschutzniveau vorhanden ist. Art. 45 Abs. 3 der DSGVO räumt der EU-Kommission die Befugnis ein, mittels Durchführungsrechtsakts zu entscheiden, dass ein Nicht-EU-Land ein angemessenes Schutzniveau für die Privatsphäre gewährleistet. Ein angemessenes Schutzniveau liegt insb. dann vor, wenn die Daten im Wesentlichen dem Schutzniveau innerhalb der EU entsprechen. Die Wirkung von Angemessenheitsbeschlüssen besteht darin, dass personenbezogene Daten ohne weitere Hindernisse frei aus der EU (und Norwegen, Liechtenstein und Island) in das jeweilige Drittland fließen können.

Die Übermittlung personenbezogener Daten in die USA war seit den Snowden-Enthüllungen regelmäßig Gegenstand gerichtlicher Überprüfungen durch den EuGH. Der EuGH hatte zuletzt mit Urteil vom 16.07.2020 (Rs C-311/18, Facebook Ireland / Schrems II) das bisherige EU-U.S. Privacy Shield für DSGVO-widrig erklärt und damit seine Unwirksamkeit festgestellt. Insbesondere monierte der EuGH, dass vor dem Hintergrund der Zugriffsmöglichkeiten durch die US-Sicherheitsbehörden die datenschutzrechtlichen Anforderungen nicht erfüllt sind und der Rechtsschutz für Betroffene unzureichend sei. Da der Datenaustausch zwischen der EU und den USA im wirtschaftlichen Verkehr unerlässlich ist, haben die EU-Kommission und die US-Regierung unmittelbar Gespräche über einen neuen Rahmen aufgenommen und das EU-U.S. Data Privacy Framework ins Leben gerufen

Neues EU-U.S. Data Privacy Framework

Auf der Grundlage des neuen EU-U.S. Data Privacy Framework können nun personenbezogene Daten sicher aus der EU an am Privacy Framework teilnehmende US-Unternehmen übertragen werden, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen.

Dies gelingt, da das EU-U.S. Data Privacy Framework neue verbindliche Garantien einführt, um die vom EuGH geäußerten Bedenken auszuräumen. Das neue Rahmenwerk führt erhebliche Verbesserungen gegenüber dem bisherigen unter dem Privacy Shield bestehenden Mechanismus ein. Es ist vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt wird. Weiter wird ein Gericht zur Datenschutzüberprüfung eingerichtet, sog. Data Protection Review Court, DPRC, zu dem Einzelpersonen in der EU Zugang haben. Sofern das DPRC feststellt, dass Daten unter Verstoß gegen die neuen Garantien erhoben wurden, kann es gegenüber den US-Behörden die Löschung der Daten anordnen. Die neuen Schutzmaßnahmen im Bereich des Datenzugriffs der Regierung sollen die Verpflichtungen ergänzen, denen US-Unternehmen beim Import von Daten aus der EU unterliegen.

Pflichten für US-Unternehmen

Damit US-Unternehmen in den Vorteil des EU-U.S. Data Privacy Frameworks kommen, müssen sie sich beim U.S. Department of Commerce entsprechend zertifizieren. Dabei verpflichten sie sich, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten. Diese umfassen etwa die Anforderung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erfasst wurden, nicht mehr erforderlich sind, und die Kontinuität des Schutzes sicherzustellen, wenn personenbezogene Daten mit Dritten geteilt werden. Die neue Regelung ohne zusätzliche Maßnahmen gilt nur dann, wenn das US-Unternehmen, an das die Daten übermittelt werden, nach dem EU-U.S. Data Privacy Framework zertifiziert ist. Dies müssen die in der EU ansässigen Unternehmen vorab prüfen. Eine entsprechende Liste mit zertifizierten Organisationen wird vom U. S. Department of Commerce auf einer neuen Webseite zeitnah veröffentlicht.

Rechte für EU-Bürger

EU-Bürger stehen mehrere Rechtsbehelfe für den Fall zur Verfügung, dass ihre Daten von US-Unternehmen falsch verarbeitet werden. Dazu gehören kostenlose unabhängige Streitbeilegungsmechanismen und eine Schlichtungsstelle. Ihnen wird Zugang zu einem unabhängigen und unparteiischen Rechtsbehelfsmechanismus bezüglich der Erhebung und Nutzung ihrer Daten durch US-Geheimdienste gewährt. Zuständig hierfür ist der neu geschaffene Data Protection Review Court (DPRC).

Darüber hinaus sieht der US-Rechtsrahmen eine Reihe von Schutzmaßnahmen für den Zugriff auf Daten vor, die im Rahmen des Frameworks von US-amerikanischen Behörden übermittelt werden. Diese Schutzmaßnahmen beziehen sich insbesondere auf Zwecke der Strafverfolgung und der nationalen Sicherheit.

Erleichterung des transatlantischen Datenverkehrs

Die von den USA eingeführten Schutzmaßnahmen werden auch den transatlantischen Datenverkehr allgemein erleichtern. Sie gelten auch, wenn Daten mithilfe anderer Instrumente wie Standardvertragsklauseln und verbindlicher Unternehmensregeln übermittelt werden.

Regelmäßige Evaluierungen

Die Funktionsweise des EU-U.S. Data Privacy Framework wird regelmäßigen Überprüfungen unterzogen, die von der EU-Kommission gemeinsam mit Vertretern europäischer Datenschutzbehörden und zuständiger US-Behörden durchgeführt werden. Die erste Evaluierung wird innerhalb eines Jahres nach Inkrafttreten des Frameworks stattfinden, um zu überprüfen, ob alle relevanten Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.

Ist jetzt alles gut?

Selbstverständlich ist der Angemessenheitsbeschluss und das Privacy Framework unter Datenschützern nicht unumstritten. Bereits im Vorfeld hatten sowohl das EU-Parlament als auch der Europäische Datenschutz Ausschuss - der Zusammenschluss der europäischen Aufsichtsbehörden für den Datenschutz - Zweifel an den neuen Maßnahmen geäußert. Im Fokus steht dabei insbesondere die Wirksamkeit der neu angekündigten Schutzmaßnahmen für die Betroffenen aus der EU.

Auch der „Auslöser" der Schrems-Rechtsprechung des EuGH, Max Schrems, kündigte mit seiner Organisation noyb an, Datenübermittlungen auf Basis des Privacy Frameworks gerichtlich anzufechten und somit eine erneute Überprüfung durch den EuGH zu erreichen. Noyb geht dabei davon aus, dass die von der EU-Kommission festgestellte Verhältnismäßigkeit der getroffenen Maßnahmen den Anforderungen des EuGH auch in der jetzigen Ausgestaltung nicht ausreichend Rechnung trägt, da die Änderungen an den Geheimdienstgesetzen in den USA nur unzureichend seien.

Nur der EuGH und die EU-Kommission können den Angemessenheitsbeschluss kippen

Bis zu einer Entscheidung des EuGH über die Unwirksamkeit des EU-U.S. Data Privacy Frameworks ist es jedoch ein langer Weg durch die Instanzen. Auch die Aufsichtsbehörden sind insoweit an den von der Kommission erlassenen Beschluss gebunden. Sofern die EU-Kommission nicht im Rahmen der regelmäßigen Evaluierung den Angemessenheitsbeschluss zurücknimmt, bleibt er bis zu einer vorübergehenden Aussetzung oder finalen Entscheidung durch den EuGH in Kraft und ist damit eine zulässige Rechtsgrundlage für die Übermittlung personenbezogener Daten an zertifizierte U.S.-Unternehmen.