EU-US Data Privacy Framework

Data Privacy von Chantal Nußbaum

EU-US Data Privacy Framework: neuer Rechtsrahmen zur Übermittlung von Daten in die USA. EU-Kommision nimmt Angemessenheitsbeschluss an. Langfristige Verbesserung oder kurzfristige Lösung?

Am Montag, 11.07.2023, hat die Europäische Kommision den neuen Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen angenommen. Die EU-Kommision kommt zu dem Schluss, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, welche auf Grundlage der neuen Rahmenbedingungen (Framework) übermittelt werden.

Auf Basis des neuen Angemessenheitsbeschlusses können personenbezogene Daten gefahrlos aus der EU an US-Unternehmen, die an dem Datenschutzrahmen, teilnehmen, übermittelt werden – ohne zusätzliche Datenschutzvorkehrungen. Mit diesem Rechtsrahmen zwischen der EU und den USA soll eine neue verbindliche Garantie eingeführt werden, um alle geäußerten Bedenken des Europäischen Gerichtshofes auszuräumen. Zudem soll der Zugriff von US-Geheimdiensten auf EU-Daten auf das notwendigste und verhältnismäßigste Maß eingeschränkt und ein Datenschutzüberprüfungsgericht (Data Protection Review Court, DPRC), zu dem EU-Bürger Zugang haben, eingerichtet werden.

Der neue Rechtsrahmen soll erhebliche Verbesserungen im Vergleich zu dem bereits gekippten „Privacy-Shield-Abkommen“ (Schrems II) bringen. Stellt das DPRC beispielsweise fest, dass gegen die neuen Garantien verstoßen wurde, kann dieses Gericht die Löschung der Daten anordnen.

US-Unternehmen können dem EU-US-Datenschutzrahmen beitreten, indem sie sich verpflichten, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten, z. B. die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und die Kontinuität des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.

Außerdem stehen EU-Bürgern mehrere Rechtsbehelfe für den Fall zur Verfügung, dass ihre Daten von US-Unternehmen falsch behandelt werden. Hierzu gehören kostenlose unabhängige Streitbeilegungsmechanismen und ein Schlichtungsgremium.

Zusätzlich sieht der US-Rechtsrahmen eine Reihe von Garantien für den Zugriff auf Daten vor, die auf Grundlage des Rechtsrahmens von US-Behörden übermittelt werden. Dies gilt insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu den Daten ist auf das beschränkt, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.

Die Einhaltung des EU-US-Datenschutzrahmen wird in regelmäßigen Abständen von der EU Kommission gemeinsam mit dem Vertretern der europäischen Datenschutzbehörde und der zuständigen US-Behörden überprüft.

Die erste Überprüfung wird 2024 stattfinden, um zu überprüfen, ob alle relevanten Erfordernisse vollständig in den US-Rechtsrahmen umgesetzt und in der Praxis wirksam etabliert wurden.

Langfristige Verbesserung oder kurzfristige Lösung?

Die eingeführten Garantien sollen den transatlantischen Datenverkehr wesentlich erleichtern, da sie auch bei der Übermittlung von Daten unter Verwendung anderer Instrumente wie Standardvertragsklauseln und verbindlicher Unternehmensregeln gelten.

Bereits im Vorfeld äußerte sich der Bundesbeauftrage für den Datenschutz und die Informationssicherheit (BfDI) Professor Ulrich Kelber zum Abkommen: „Wir sehen den Willen, ein angemessenes Schutzniveau für Betroffene, deren personenbezogenen Daten an Unternehmen übermittelt werden, zu schaffen. Deutliche Fortschritte gibt es insbesondere im Bereich des Government Access für Zwecke der nationalen Sicherheit. Bedenken haben wir, ob die neuen Regelungen in allen Punkten ein Schutzniveau gewährleisten, das den EU-Datenschutzstandards der Sache nach gleichwertig ist.“

Auch Dr. Ralf Wintergerst, Bitkom-Präsident, erklärt:

„Mit der heutigen Veröffentlichung des Data Privacy Frameworks geht eine dreijährige Hängepartie zu Ende. Unternehmen erhalten damit grundsätzlich wieder Rechtssicherheit, wenn sie personenbezogene Daten zwischen der EU und den USA transferieren müssen. Vor allem kleine und mittelständische Unternehmen profitieren davon, dass künftig keine Einzelfallprüfungen mehr notwendig sind. Die mühsamen transatlantischen Verhandlungen haben sich gelohnt und waren auch deshalb erfolgreich, weil die aktuelle US-Regierung mit einer Executive Order im vergangenen Jahr auf die europäischen Bedenken reagiert hat und auf die EU zugegangen ist.

Sicher ist aber auch, dass die nun gefundene Neuregelung erneut von den Gerichten überprüft werden. Dort wird sich zeigen, ob der EU-Gesetzgeber mit dem Data Privacy Framework eine rechtlich belastbare Regelung gefunden hat. Datentransfers sind ein zentraler Bestandteil der globalen Wirtschaft quer durch alle Branchen und auch der Wissenschaft. Die Be- oder sogar Verhinderung von Datentransfers kann häufig nicht einfach durch alternative Lösungen kompensiert werden und stellt die deutschen und europäischen Unternehmen vor ebenso gravierende Herausforderungen wie die Unterbrechung von Lieferketten.“

EU-US Data Privacy Framework demnächst also wieder vor dem EuGH?

Ob die Rechtsunsicherheit nun beendet ist, ist jedoch noch fraglich. Die von Max Schrems gegründete Datenschutzorganisation noyb hat bereits angekündigt, rechtlich gegen das neue Data Privacy Framework vorgehen zu wollen. Hier sei man zuversichtlich, dass auch diese Vereinbarung zwischen Europa und den Vereinigten Staaten vor dem Europäischen Gerichtshof kein Bestand haben wird. „Das angeblich ‚neue‘ transatlantische Datenschutzabkommen stellt weitgehend eine Kopie des gescheiterten Privacy-Shield-Abkommens dar.“

Max Schrems geht davon aus, dass die Sache Anfang nächsten Jahres wieder vor dem EuGH landen wird.

Unser Fazit

Mit dem EU-US Data Privacy Framework wurde versucht, bisherigen Datenschutz-Problematiken hinsichtlich der Übermittlung von personenbezogenen Daten in die USA zu begegnen und entsprechende Lösungen zu finden. Weiterhin gibt es jedoch Bedenken, die nicht unerheblich sind. Auch wir als Datenschützer gehen davon aus, dass das EU-US Data Privacy Framework noch nicht das Ende der Diskussion ist und abschließend für Rechtssicherheit und somit auch Sicherheit für die personenbezognen Daten von EU-Bürgern sorgt.

Wir empfehlen, europäische Unternehmen mit Datenverarbeitungen zu beauftagen, eingehend zu prüfen, ob geeignete Garantien für Datenübermittlungen in Drittländer insbesondere die USA eingehalten werden können und ob überhaupt die Notwendigkeit besteht, Übermittlungen in die USA vorzunehmen.

Wir freuen uns jedoch, dass es positive Entwicklungen gibt und man bestrebt ist, Lösungen zu finden. Sollten Sie Unterstützung bei der Einhaltung rechtlicher Rahmenbedingungen für die Übermittlung von Daten in Drittländer benötigen, zögern Sie nicht und kommen gerne auf uns zu!

Kontaktieren Sie uns

X

Sie sind Ihrer digitalen Souveränität bereits einen großen Schritt näher gekommen.

Wir freuen uns auf Ihr Interesse und Ihre Fragen.

Bitte rechnen Sie 4 plus 3.
Diese Anfrage ist für Sie unverbindlich und keine Zahlungsmittel sind notwendig.
eteslogo4

Autoren

Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

Markus Espenhain Portrait

Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

Ioannis Dimas Portrait

Chantal Nußbaum

In den Bereichen Datenschutz und Informationssicherheit liegt ihr Schwerpunkt. Durch Fortbildungen ist sie immer auf dem neusten Stand der Gesetze.

Christian Gleich

Sein Schwerpunkt liegt in dem Kontakt zu Kunden. Durch seine tägliche Arbeit mit unserem gesamten Produktportfolio landen Neuigkeiten immer zuerst bei ihm.

Christian Gleich