Mit dem neuen EU-U.S. Data Privacy Framework wurde nun ein neues Datenschutzabkommen zwischen der EU und den USA vereinbart. Das Abkommen bestätigt zertifizierten US-Unternehmen ein angemessenes Datenschutzniveau. Das EU-U.S. Data Privacy Framework ist jedoch mit Vorsicht zu genießen, denn der Beschluss ebnet wohl eher den Weg für eine dritte Runde beim Europäischen Gerichtshof (EuGH).
Wir erklären, was Unternehmen in der EU jetzt tun können, ob das EU-U.S. Data Privacy Framework eine nachhaltige Lösung ist und welche Alternativen sich anbieten.
Aktueller Stand des EU-U.S. Data Privacy Frameworks
Die EU-Kommission nahm am 10. Juli 2023 den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework an. Somit können personenbezogene Daten aus der EU wieder in die USA übermittelt werden, ohne dass weitere zusätzliche Garantien erforderlich sind. Dies gilt jedoch nur für Organisationen, die sich dem EU-U.S. Data Privacy Framework anschließen.
Auch die Mehrheit der Mitgliedsstaaten hat sich für den Angemessenheitsbeschluss ausgesprochen.
Update, Oktober 2023
Am 6. September 2023 hatte der französische Parlamentarier Philippe Latombe (Mitglied der Partei Mouvement Démocrate) als Privatperson Klage beim Gericht der Europäischen Union (EuG) eingereicht, um die Nichtigerklärung des Data Privacy Framework zu erreichen. Nach Meinung von Latombe verstößt das Abkommen gegen die EU-Grundrechtecharta, da es keine ausreichenden Garantien für die Achtung des Privat- und Familienlebens im Hinblick auf die weitgreifende Überwachungsmöglichkeiten und keine Garantien für das Recht auf einen wirksamen Rechtsbehelf und den Zugang zu einem unparteiischen Gericht bietet.
Am 12. Oktober 2023 wies das Gericht der Europäischen Union (EuG) die Klage von Philippe Latombe ab. Das EuG hält die Voraussetzung der Dringlichkeit nicht für erfüllt. Latombe könne nicht darlegen, inwiefern der angefochtene Angemessenheitsbeschluss ihn im Vergleich zur Situation vor dem Beschluss benachteiligt. Das EuG weist zudem darauf hin, dass er als Betroffener weiterhin die Möglichkeit habe, eine Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO einzureichen, wenn er der Ansicht ist, dass die Verarbeitung seiner personenbezogenen Daten gegen die DSGVO verstößt.
Weiterhin bemängelt das Gericht, dass Latombe nicht den Nachweis des Vorliegens eines schweren und nicht wiedergutzumachenden Schadens vorgebracht habe, der die Dringlichkeit der beantragten einstweiligen Anordnungen rechtfertigt.
Auch wenn die erste Klage nun abgewiesen wurde, bedeutet dies weiterhin nicht, dass der Angemessenheitsbeschluss lange Bestand hält. Auch der Verein noyb des Aktivisten Max Schrems hat angekündigt, gegen den Angemessenheitsbeschluss vorgehen zu wollen. Allerdings plant dieser einen anderen Weg. Sobald sich Unternehmen auf das neue EU-U.S. Data Privacy Framework berufen, wird er dagegen vor nationalen Gerichten klagen, die den Fall dann wohl dem EuGH vorlegen.
Warum braucht es das EU-U.S. Data Privacy Framework?
Wenn personenbezogene Daten in ein Drittland (also außerhalb der EU bzw. des Europäischen Wirtschaftsraums – EWR) übertragen werden sollen, fordert die EU-Datenschutz-Grundverordnung (DSGVO) zusätzliche Garantien. Dies kann u.a. ein Angemessenheitsbeschluss der EU-Kommission sein, der besagt, dass im Empfängerland ein angemessenes Datenschutzniveau vorliegt bzw. durch zusätzliche Maßnahmen erreicht werden kann.
Ein solcher Angemessenheitsbeschluss ist auch das EU-U.S. Data Privacy Framework. Es hatte bereits zwei Vorgänger:
- Safe Harbor, 2015 durch den EuGH im sogenannten Schrems-Urteil für ungültig erklärt,
- EU-U.S. Privacy Shield, 2020 vom EuGH im sogenannten Schrems-II-Urteil kassiert.
Das EU-U.S. Data Privacy Framework ist also der dritte Versuch der EU-Kommission, Transfers personenbezogener Daten in die USA ohne zusätzliche Sicherheiten wie Standardvertragsklauseln (Standard Contractual Clauses – SCC) zu ermöglichen.
Was regelt das EU-U.S. Data Privacy Framework (neu)?
US-Unternehmen können sich dem EU-U.S. Data Privacy Framework anschließen, indem sie sich (wie auch zuvor beim EU-U.S. Privacy Shield) zur Einhaltung detaillierter Datenschutzpflichten verpflichten. Hierunter fallen beispielsweise die Pflichten personenbezogene Daten zu löschen, wenn der Zweck, für den sie erhoben worden sind, erreicht ist, oder den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dienstleister oder Dritte weitergegeben werden.
Auf amerikanischer Seite kümmert sich das U.S. Department of Commerce um die Anträge auf Zertifizierung und die Überwachung der Einhaltung.
Das neue Datenschutz-Abkommen zwischen EU und den USA bringt – zumindest auf dem Papier – einige Verbesserungen gegenüber seinen Vorgängern mit sich. Es werden neue verbindliche Garantien eingeführt, um insbesondere den vom EuGH geäußerten Bedenken Rechnung zu tragen. So ist vorgesehen, dass der Zugang von amerikanischen Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt wird. Außerdem wird ein Gericht zu Datenschutzüberprüfungen, das sogenannte Data Protection Review Court (DPRC), eingeführt, zu dem Betroffene aus der EU Zugang haben.
Der Volltext des EU-U.S. Data Privacy Framework ist hier als PDF verfügbar.
Die EU-Kommission wird gemeinsam mit Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörde die Funktionsweise des EU-U.S. Data Privacy Frameworks regelmäßig überprüfen. Die erste Überprüfung soll bereits ein Jahr nach dem Inkrafttreten des Angemessenheitsbeschluss erfolgen, um zu ermitteln, ob alle einschlägigen Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und auch tatsächlich in der Praxis funktionieren.
Was bedeutet das EU-U.S. Data Privacy Framework für Unternehmen in der EU?
Das neue Abkommen verspricht für Unternehmen die schon lange ersehnte Rechtsgrundlage, an der es bisher fehlte, um personenbezogene Daten in die USA zu übermitteln. Nach einer dreijährigen Hängepartie, die nun zu Ende geht, erhalten Unternehmen somit grundsätzlich wieder Rechtssicherheit.
Sicher ist aber auch, dass diese Neuregelung erneut von den Gerichten überprüft werden wird. Der Datenschutzaktivist Max Schrems und seine NGO none of your business (noyb), die schon für den Sturz der beiden vorherigen Abkommen mit den USA gesorgt haben, kündigten bereits eine Klage an.
Bei dem neuen EU-U.S. Data Privacy Framework handelt sich wieder um einen sektoralen Ansatz, wonach personenbezogenen Daten nur an die Organisation übermittelt werden dürfen, die sich beim U.S. Department of Commerce zertifiziert haben. Die entsprechende Liste wird vom US Department of Commerce zur Verfügung gestellt. EU-Unternehmen müssen also zunächst überprüfen, ob das amerikanische Unternehmen zertifiziert ist. Ist dies der Fall, können personenbezogene Daten an diese Unternehmen übermittelt werden, ohne Anwendung zusätzlicher Datenschutzgarantien, wie beispielsweise Standardvertragsklauseln (SCC).
Aber auch mit US-Unternehmen, die nicht zertifiziert werden, könnte es in Zukunft einfacher sein, Daten auszutauschen. Sofern ein amerikanisches Unternehmen nicht zertifiziert ist, ist ein Datentransfer vorbehaltlich geeigneter Garantien, wie beispielsweise SCC, möglich. Die Garantien, die von der US-Regierung im Bereich der nationalen Sicherheit eingeführt wurden (einschließlich des Rechtsbehelfsverfahrens), gelten schließlich für alle Datenübermittlungen, unabhängig von den verwendeten Übermittlungsmechanismen. Unternehmen, die den Datenaustausch auf SCC stützen, müssen zwar die in Klausel 14 verpflichtende Daten-Transfer-Folgenabschätzung (Transfer Impact Assessment – TIA) durchführen, sollten nun aber leichter zum Schluss kommen, dass die Rechtslage und -praxis der USA den Datenimporteur nicht an der Erfüllung seiner Pflichten hindern.
Wie können Unternehmen in der EU das EU-U.S. Data Privacy Framework nutzen?
Folgende Schritte sind für Unternehmen, die aus der EU personenbezogene Daten in die USA übermitteln wollen, notwendig:
- Überprüfen Sie, ob der Dienstleister auf der Liste des U.S. Department of Commerce (verfügbar ab 17. Juli 2023) gelistet ist.
Gelisteter bzw. zertifizierter Dienstleister
- Prüfen Sie auch kritisch, in welchen anderen Drittländern das US-Unternehmen Subdienstleister einsetzt. Falls ja, hinterfragen Sie, ob hinreichende Garantien vorliegen und ein TIA durchgeführt wurde.
- Passen Sie Ihre Informationsschreiben und Datenschutzerklärungen bezüglich des Drittlandtransfers entsprechend an.
- Unternehmen, die sich auf das neue Abkommen stützen, müssen daran denken, bestehende SCC zu kündigen. Es handelt sich hier schließlich um ein Vertragswerk, dem die Parteien unterliegen. Klausel 16 e) legt fest, dass die SCC gültig bleiben, bis eine Partei die Zustimmung widerruft. Bitte beachten Sie auch, dass sie dann einen Vertrag zur Auftragsverarbeitung abschließen müssen, sofern dieser nicht vorhanden ist.
Nicht gelisteter bzw. zertifizierter Dienstleister
- Sorgen Sie für hinreichende Garantien nach 46 DSGVO, zum Beispiel SCC.
- Bewerten Sie im Rahmen eines Transfer-Impact-Assessments (TIA), ob die personenbezogenen Daten in dem Empfängerland innerhalb eines gleichwertigen Datenschutzniveaus geschützt sind, wie in der EU. Ergreifen Sie wenn notwendig zusätzliche Maßnahmen, um den Schutz der personenbezogenen Daten der Betroffenen zu garantieren.
Fazit: Nur ein kurzer Lichtblick
Auch wenn jetzt erst einmal Ruhe herrscht und der Angemessenheitsbeschluss der EU den Datentransfer zwischen der EU und der USA erheblich erleichtern wird, ist dies wohl mit Vorsicht zu genießen. Es steht außer Frage, dass der Angemessenheitsbeschluss angefochten und dem EuGH zur Überprüfung vorgelegt wird.
Ein Urteil könnte diesmal zudem bedeutend schneller erreicht werden, da sich im Grunde nicht viel geändert hat. Die neue Vereinbarung ist weitgehend eine Kopie alter Prinzipien. Die US-Nachrichtendienste haben in der Realität weiterhin weitgreifende Überwachungsmöglichkeiten und auch das Rechtsbehelfsverfahren ist eher eine Farce.
Unternehmen in der EU, die sich nun auf diesem Angemessenheitsbeschluss ausruhen, sollten gewarnt sein und diesen mit Vorsicht genießen. Des Weiteren wird oftmals nicht bedacht, dass auch amerikanische Unternehmen Dienstleister einsetzen, die sich in anderen Drittländern, wie zum Beispiel Indien, China, etc. befinden. Somit ist es nicht ausreichend, wenn ein US-Unternehmen nach dem neuen Datenschutzrahmen zertifiziert ist. Es muss weiterhin überprüft werden welche Subdienstleister eingesetzt werden und ob für diese geeignete Garantien gemäß Art. 46 DSGVO vorliegen.
Aus wirtschaftlicher Sicht wäre ein stabiles Datenschutzabkommen mit den USA sehr zu begrüßen. Bis dahin empfehlen wir wie bisher wenn möglich auf europäische Dienstleister zu setzen.