Die Europäische Kommission hat am 10.07.2023 im Drittversuch einen Angemessenheitsbeschluss für den „Datenschutzrahmen“ EU-USA angenommen. Damit können EU-Unternehmen ab sofort personenbezogene Daten an in den USA ansässige Datenimporteure, die in der vom US-Handelsministerium geführten und öffentlich zugänglichen „Data Privacy Framework List“ aufgeführt sind, übermitteln, ohne dass weitere Genehmigungen oder zusätzliche Maßnahmen (etwa EU-Standardvertragsklauseln (SCC) und „Binding Corporate Rules“ (BCR)) erforderlich sind.
Hintergrund des Datenschutzrahmens
Die Datenschutz-Grundverordnung (DSGVO) stellt hohe Anforderungen an die Übermittlung oder Zugriffe auf personenbezogene Daten von EU-Bürgern durch Drittstaaten. Für diese Prozesse gilt daher insbesondere der strenge Maßstab des Kapitels V der DSGVO. Das unionsrechtliche Schutzniveau muss auch in dem betreffenden Drittland gewährleistet werden.
Eine Möglichkeit, personenbezogene Daten in Drittländer wie die USA zu übermitteln, besteht nun durch den jüngsten Angemessenheitsbeschluss.
Fasst die EU-Kommission den Beschluss, dass ein Drittland (Gebiet oder Sektor) ein angemessenes Schutzniveau zur Verarbeitung personenbezogener Daten aufweist, so ist der Drittlandtransfer grundsätzlich zulässig (vgl. Art. 45 DSGVO).
Für die USA hat die Kommission vor Inkrafttreten der DSGVO bereits in der Vergangenheit zwei Angemessenheitsbeschlüsse erlassen: Die „Safe-Harbor-Entscheidung“ vom 26.06.2000, die am 06.10.2015 durch den EuGH aufgehoben worden ist (Schrems I); und das „Privacy Shield“ vom 12.06.2016, das am 16.07.2020 durch den EuGH ebenfalls für ungültig erklärt worden ist (Schrems II).
In beiden Fällen stellte der EuGH fest, dass eine Überwachung durch die US-Behörden von EU-Bürgern, deren personenbezogene Daten in die USA übermittelt worden sind, nicht mit geltendem EU-Recht vereinbar sei.
Das zentrale Problem hierbei war, dass Section 702 des „Foreign Intelligence Surveillance Act“ (FISA) der US-Regierung gestattete, Personen, die sich außerhalb der Vereinigten Staaten befinden, im Interesse der nationalen Sicherheit massenhaft zu überwachen. Praktisch kann dies mit Hilfe der US-amerikanischen Internetdienstanbieter (etwa Google, Microsoft und Meta) und Telekommunikationsdiensten bewirkt werden.
Ein weiteres Problem sei das Fehlen eines effektiven Rechtsschutzes in den USA für betroffene EU-Bürger.
Was Rechtsdurchsetzungsmechanismen betrifft, sah das „Privacy Shield“ einen Ombudsmann-Mechanismus vor: Die Ombudsperson ist dem US-amerikanischen Außenminister untergeordnet, was zu Zweifeln an der Unabhängigkeit der Exekutive führte. Folglich bot der Mechanismus den Betroffenen keinen Rechtsweg gegenüber einem Organ an, der vergleichbar mit den notwendigen Garantien des Artikels 47 der Grundrechtcharta sein könnte. Darüber hinaus sollte die Ombudsperson weder bestätigen noch leugnen, ob personenbezogene Daten verarbeitet worden sind. Betroffene mussten daher bislang damit rechnen, immer vage Antworten zu erhalten.
Mit der Ungültigkeit des „Privacy Shield“ im Juli 2020 mussten Unternehmen Datenübermittlungen an die USA auf andere Rechtfertigungen stützen, was Schwierigkeiten für die Praxis mit sich brachte. So ziemlich jedes größere europäische Unternehmen fand sich mit der kuriosen Situation konfrontiert, die gängigen US-Softwaredienste nur unter Akzeptanz erheblicher Restrisiken weiter zu nutzen, da weder die neuen SCCs noch andere Garantien tatsächlich unter Berücksichtigung der Schrems-II-Rechtsprechung ein ausreichendes Datenschutzniveau gewährleisten konnten.
Grundsätze des Angemessenheitsbeschlusses
Am 23.05.2022 kündigten die Europäische Kommission und die Vereinigten Staaten an, sich auf einen neuen transatlantischen Datenschutzrahmen grundsätzlich verständigt zu haben und auch dafür Sorge zu tragen, dass die vom EuGH in der Sache Schrems II geäußerten Bedenken berücksichtigt würden.
Am 10.07.2023 ist der lang ersehnte Angemessenheitsbeschluss endlich in Kraft getreten.
Wie bereits bei „Safe Harbor“ und „Privacy Shield“ handelt es sich hierbei um eine Selbstzertifizierung der Datenimporteure: Personenbezogene Daten dürfen nämlich nicht schrankenlos von der EU an die USA übermittelt werden, sondern der Angemessenheitsbeschluss gilt nur für Empfänger, die DPF-zertifiziert sind. Die Liste von zertifizierten Unternehmen wird vom US-Handelsministerium veröffentlicht.
Die wichtigsten Grundsätze des neuen Angemessenheitsbeschlusses umfassen:
- Beschränkungen für den Zugriff auf Daten durch die US-Geheimdienste, der zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig sei; und
- ein neues zweistufiges Rechtsbehelfssystem mit der Schaffung eines „Civil Liberties Protection Officer“ (CLPO) und eines Gerichts zur Datenschutzüberprüfung („Data Protection Review Court“, DPRC), wodurch Unionsbürger Beschwerde einreichen können
Die Kommission zeigt sich optimistisch, dass der neue Rahmen erhebliche Verbesserungen gegenüber dem „Privacy Shield“ mit sich bringt und dass das „Data Privacy Framework“ die vom EuGH in der Sache Schrems II geäußerten Bedenken berücksichtigt.
Schrems III in Sicht?
NYOB (von Max Schrems gegründet) hat bereits erklärt, dass das NYOB-Team die Entscheidung der Kommission dem EuGH vorlegen werde und dass es verschiedene juristische Optionen in der Schublade habe.
Folgende Bedenken wurden von NYOB hinsichtlich des aktuellen Angemessenheitsbeschlusses geäußert:
- Das „Data Privacy Framework“ sei eine Kopie von „Privacy Shield“, das wiederum eine Kopie von „Safe Harbor“ sei. Man könne daher kein anderes Ergebnis als eine Ungültigkeitserklärung erwarten, da die Vorgänger des „Data Privacy Framework“ bereits durch den EuGH für ungültig erklärt worden sind.
- FISA 702 müsse von den USA bis Ende 2023 verlängert werden. Mit Inkrafttreten des neuen Angemessenheitsbeschlusses verliere die Europäische Union jeglichen Einfluss, eine Reform von FISA 702 zu erreichen.
- Eine Änderung des US-Überwachungsrechts sei nötig, damit Datenübermittlungen an die USA mit dem EU-Recht vereinbart würden, aber das ist nicht geschehen.
- Die Auslegung von „Verhältnismäßigkeit“ in der EU und in den USA stimmen nicht überein. Die Massenüberwachung nach FISA 702 sei nämlich nach US-Recht verhältnismäßig (vgl. Executive Order 14086).
- Das „Data Protection Review Court“ ist kein echtes Gericht, sondern ein teilweise unabhängiges Exekutivorgan.
- Die Betroffenen werden genau wie bei dem Ombudsmann-Mechanismus eine vage Antwort erhalten: Sie werden nämlich weder eine Bestätigung noch eine Leugnung hinsichtlich der Datenverarbeitung erhalten (vgl. Sec. 3 (E)
(1) EO 14086).
Auswirkungen des Datenschutzrahmens für Unternehmen
Obwohl diese Situation Rechtsunsicherheiten mit sich bringt, ist der von der Europäischen Kommission angenommene Angemessenheitsbeschluss gültig und verbindlich.
Abgesehen davon wird der internationale Handel ab sofort von dieser Entscheidung profitieren und Daten dürfen erneut vereinfacht in die USA fließen.
Für EU-Unternehmen, die Daten an die USA übermitteln, ist es wichtig, zu beachten:
- Hierbei handelt es sich immer noch um einen Selbstzertifizierungsmechanismus: Datenimporteure in den USA müssen ihre Einhaltung der DPF-Prinzipien selbst zertifizieren.
- Notwendige Informationen werden auf der Website des DPF zur Verfügung gestellt.
- Datenexporteure in der EU müssen zunächst sicherstellen, dass der Datenempfänger in den USA bereits DPF-zertifiziert ist, bevor eine Datenübermittlung auf der Grundlage des neuen Angemessenheitsbeschlusses stattfindet. Die Liste von bereits zertifizierten Unternehmen ist hier abrufbar.
- Eine Datentransfer-Folgenabschätzung wird für Drittlandtransfers auf der Grundlage des DPF nicht mehr erforderlich. Ist der Datenimporteur jedoch nicht DPF-zertifiziert, dann bleibt die Durchführung einer Datentransfer-Folgenabschätzung weiterhin notwendig.
- Datenschutzerklärungen sind zu aktualisieren.
- Nicht vergessen: Sofern einschlägig, ist auch weiterhin ein Auftragsverarbeitungsvertrag oder ein Vertrag zur gemeinsamen Verarbeitung personenbezogener Daten abzuschließen (Art. 26–28 DSGVO).
Quellen
BfDI, Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten, 10.07.2023.
Center of Democracy and Technology, Section 702: What It Is & How It Works, 15.02.2017.
EuGH, Urteil vom 16.07.2020 – C-311/18 (Schrems II), Rn. 193-197.
Europäische Kommission, Datenschutz: Europäische Kommission erlässt neuen Angemessenheitsbeschluss für einen sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA, 10.07.2023.
Europäische Kommission, European Commission and United States Joint Statement on Trans-Atlantic Data Privacy Framework, 25.03.2022
Hogan Lovells, EU-U.S. Data Privacy Framework: European Commission takes third bite at the adequacy cherry, 10.07.2023.
NYOB, Europäische Kommission gibt EU-US-Datentransfers 3. Runde beim EuGH, 10.07.2023
Office of the Director of National Intelligence, Section 702 overview.
Schantz in: NomosKommentar DSGVO, Art. 45, Rn. 69; (vgl. EG 121 Privacy Shield; Anhang III Anlage A unter 4.e.).