Legaler Datentransfer zwischen den USA und der EU wieder möglich
Die Europäische Kommission hat am 10. Juli 2023 den Angemessenheitsbeschluss für das neue Datenschutzrahmen-Abkommen zwischen den USA und der Europäischen Union (EU) unterzeichnet. Das Abkommen, auch Data Privacy Framework genannt, ist damit in Kraft getreten.
Es hat das Ziel, ein angemessenes Schutzniveau im transatlantischen Datenverkehr sicherzustellen. Neben dem Schutz der personenbezogenen Daten von EU-Bürgern bei jeglichen Datentransfers zwischen den USA und der EU soll das Data Privacy Framework für Rechtssicherheit sorgen.
Hintergrund des Data Privacy Frameworks
Das Data Privacy Framework ist nicht das erste Datenschutzrahmen-Abkommen zwischen den USA und der EU, die beiden vergangenen Versuche sind jedoch gescheitert. Zuletzt hat der EuGH mit seinem Urteil vom 16.07.2020 (Schrems II-Urteil) das bisherige EU-USA-Privacy-Shield für nicht DSGVO-konform und damit unwirksam erklärt. Der Rechtsschutz für Betroffene sei unzureichend gewesen, insbesondere aufgrund von Zugriffsmöglichkeiten auf Daten von den US-Sicherheitsbehörden.
Seit dem Schrems-II-Urteil gab es kein wirksames Abkommen für Datenübertragungen zwischen den USA und der EU. Der Vorteil eines solchen Abkommens besteht jedoch darin, dass damit ein ausreichendes Datenschutzniveau in dem entsprechenden Drittland sichergestellt wird, sodass für Datenübertragungen von den beteiligten Unternehmen keine weiteren Schutzmaßnahmen notwendig sind. Seit dem Schrems-II-Urteil mussten Unternehmen stets individuelle Datenschutzverträge, sogenannte Standardvertragsklauseln, miteinander abschließen, um die Einhaltung der Vorschriften der DSGVO sicherzustellen. Das war nicht nur zeitaufwendig, sondern stellte ebenfalls eine finanzielle Belastung für viele Unternehmen dar. Zudem war und ist die Übermittlung auf Grundlage von Standardvertragsklauseln in die USA mit Rechtsunsicherheiten verbunden, da die Standardvertragsklausel nur bilateral wirken, weshalb stets im Rahmen eines sog. Data Transfer Impact Assessment zu prüfen ist, ob zusätzliche Sicherheitsgarantien der Datenimporteur in den USA dem Datenexporteur aus der EU gewährt.
Durch den nun in Kraft getretenen Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 Absatz 3 DSGVO, hat diese bestätigt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten besitzen, welches mit dem der EU vergleichbar ist. Der Angemessenheitsbeschluss ermöglichte somit das Inkrafttreten des bereits am 13.12.2022 veröffentlichten Entwurfs des EU-US-Data-Privacy Frameworks.
Inhalte des Data Privacy Frameworks
Das neue Data Privacy Framework führt neue verbindliche Garantien ein, die sich insbesondere auf die in der Vergangenheit vom EuGH geäußerten Bedenken beziehen. Die drei zentralen Punkte des Data Privacy Frameworks sind:
1. Kein Zugang von US-Geheimdiensten
Der Zugang von US-Geheimdiensten zu EU-Daten wird beschränkt. US-Geheimdienste dürfen auf übermittelte Daten aus der EU nur noch dann zugreifen, wenn dies aus Gründen der Strafverfolgung oder der nationalen Sicherheit notwendig und verhältnismäßig erscheint. Dieser Regelung liegt eine Änderung an den Geheimdienstgesetzen in den USA zugrunde.
2. Data Protection Review Court
Des Weiteren wird ein sogenannter Data Protection Review Court (DPRC) eingerichtet, bei welchem es sich um ein spezielles Gericht zur Datenschutzüberprüfung handelt. Einzelpersonen in der EU können vor dem DPRC Verstöße melden. Bei Feststellen eines Verstoßes, kann das Gericht gegenüber den US-Behörden die Löschung bestimmter Daten anordnen.
3. Regelmäßige Kontrolle des Datenschutzabkommens
Das Datenschutzabkommen zwischen der EU und den USA soll regelmäßig von der EU-Kommission und Vertretern europäischer Datenschutzbehörden auf seine Einhaltung hin überprüft werden. Die erste Evaluierung soll ein Jahr nach Inkrafttreten stattfinden, um zu ermitteln, ob alle Inhalte des Data Privacy Frameworks vollständig im Rechtsrahmen der USA umgesetzt wurden und auch in der Praxis funktionieren.
Funktionsweise des Data Privacy Frameworks
US-Unternehmen kommen nicht automatisch in den Vorteil des Data Privacy Frameworks. Dafür müssen sie sich erst beim US Department of Commerce entsprechend zertifizieren lassen. Die Zertifizierung erlangen die US-Unternehmen, wenn sie sich dazu verpflichten, detaillierte Datenschutzbestimmungen einzuhalten. Beispielsweise wird davon die Anforderung umfasst, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind. Das US Department of Commerce wird auf einer neuen Webseite zeitnah eine Liste mit den zertifizierten US-Unternehmen veröffentlichen, welche die in der EU ansässigen Unternehmen vor einem Datentransfer in die USA vorab überprüfen müssen.
Fazit und Ausblick
Der Angemessenheitsbeschluss der Europäischen Kommission und das Data Privacy Framework sind sowohl aus wirtschaftlicher Perspektive als auch aus Gründen der Rechtssicherheit begrüßenswert.
Es ist jedoch davon auszugehen, dass gegen das Date Privacy Framework erneut vor dem EuGH geklagt werden wird. Der Datenschutzaktivist Schrems, der mit seinen Klagen bereits die Unwirksamkeit der beiden Vorgängerabkommen bewirkt hat, kündigte bereits erneute rechtliche Schritte an. Das neue Date Privacy Framework stelle seiner Auffassung nach weitgehend eine Kopie der gescheiterten Vorgängerabkommen dar und würde nicht ausreichend vor anlassloser Massenüberwachung schützen. Ob der EuGH dieser Auffassung erneut folgt, bleibt abzuwarten.
Bis dahin stellt das Data Privacy Framework eine große Erleichterung für alle Unternehmen die Daten in die USA transferieren. Angesichts der Vielzahl eingesetzter US-amerikanischer Software-Anwendungen dürfte dies nahezu jedes Unternehmen in der EU beträfen.
