EU-US Data Privacy Framework

Auf Basis des neuen Angemessenheitsbeschlusses können personenbezogene Daten gefahrlos aus der EU an US-Unternehmen, die an dem Datenschutzrahmen, teilnehmen, übermittelt werden – ohne zusätzliche Datenschutzvorkehrungen. Mit diesem Rechtsrahmen zwischen der EU und den USA soll eine neue verbindliche Garantie eingeführt werden, um alle geäußerten Bedenken des Europäischen Gerichtshofes auszuräumen. Zudem soll der Zugriff von US-Geheimdiensten auf EU-Daten auf das notwendigste und verhältnismäßigste Maß eingeschränkt und ein Datenschutzüberprüfungsgericht (Data Protection Review Court, DPRC), zu dem EU-Bürger Zugang haben, eingerichtet werden.

Der neue Rechtsrahmen soll erhebliche Verbesserungen im Vergleich zu dem bereits gekippten „Privacy-Shield-Abkommen“ (Schrems II) bringen. Stellt das DPRC beispielsweise fest, dass gegen die neuen Garantien verstoßen wurde, kann dieses Gericht die Löschung der Daten anordnen.

US-Unternehmen können dem EU-US-Datenschutzrahmen beitreten, indem sie sich verpflichten, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten, z. B. die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und die Kontinuität des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.

Außerdem stehen EU-Bürgern mehrere Rechtsbehelfe für den Fall zur Verfügung, dass ihre Daten von US-Unternehmen falsch behandelt werden. Hierzu gehören kostenlose unabhängige Streitbeilegungsmechanismen und ein Schlichtungsgremium.

Zusätzlich sieht der US-Rechtsrahmen eine Reihe von Garantien für den Zugriff auf Daten vor, die auf Grundlage des Rechtsrahmens von US-Behörden übermittelt werden. Dies gilt insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu den Daten ist auf das beschränkt, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.

Die Einhaltung des EU-US-Datenschutzrahmen wird in regelmäßigen Abständen von der EU Kommission gemeinsam mit dem Vertretern der europäischen Datenschutzbehörde und der zuständigen US-Behörden überprüft.

Die erste Überprüfung wird 2024 stattfinden, um zu überprüfen, ob alle relevanten Erfordernisse vollständig in den US-Rechtsrahmen umgesetzt und in der Praxis wirksam etabliert wurden.

Langfristige Verbesserung oder kurzfristige Lösung?

Die eingeführten Garantien sollen den transatlantischen Datenverkehr wesentlich erleichtern, da sie auch bei der Übermittlung von Daten unter Verwendung anderer Instrumente wie Standardvertragsklauseln und verbindlicher Unternehmensregeln gelten.

Bereits im Vorfeld äußerte sich der Bundesbeauftrage für den Datenschutz und die Informationssicherheit (BfDI) Professor Ulrich Kelber zum Abkommen: „Wir sehen den Willen, ein angemessenes Schutzniveau für Betroffene, deren personenbezogenen Daten an Unternehmen übermittelt werden, zu schaffen. Deutliche Fortschritte gibt es insbesondere im Bereich des Government Access für Zwecke der nationalen Sicherheit. Bedenken haben wir, ob die neuen Regelungen in allen Punkten ein Schutzniveau gewährleisten, das den EU-Datenschutzstandards der Sache nach gleichwertig ist.“

Auch Dr. Ralf Wintergerst, Bitkom-Präsident, erklärt:

„Mit der heutigen Veröffentlichung des Data Privacy Frameworks geht eine dreijährige Hängepartie zu Ende. Unternehmen erhalten damit grundsätzlich wieder Rechtssicherheit, wenn sie personenbezogene Daten zwischen der EU und den USA transferieren müssen. Vor allem kleine und mittelständische Unternehmen profitieren davon, dass künftig keine Einzelfallprüfungen mehr notwendig sind. Die mühsamen transatlantischen Verhandlungen haben sich gelohnt und waren auch deshalb erfolgreich, weil die aktuelle US-Regierung mit einer Executive Order im vergangenen Jahr auf die europäischen Bedenken reagiert hat und auf die EU zugegangen ist.

Sicher ist aber auch, dass die nun gefundene Neuregelung erneut von den Gerichten überprüft werden. Dort wird sich zeigen, ob der EU-Gesetzgeber mit dem Data Privacy Framework eine rechtlich belastbare Regelung gefunden hat. Datentransfers sind ein zentraler Bestandteil der globalen Wirtschaft quer durch alle Branchen und auch der Wissenschaft. Die Be- oder sogar Verhinderung von Datentransfers kann häufig nicht einfach durch alternative Lösungen kompensiert werden und stellt die deutschen und europäischen Unternehmen vor ebenso gravierende Herausforderungen wie die Unterbrechung von Lieferketten.“

EU-US Data Privacy Framework demnächst also wieder vor dem EuGH?

Ob die Rechtsunsicherheit nun beendet ist, ist jedoch noch fraglich. Die von Max Schrems gegründete Datenschutzorganisation noyb hat bereits angekündigt, rechtlich gegen das neue Data Privacy Framework vorgehen zu wollen. Hier sei man zuversichtlich, dass auch diese Vereinbarung zwischen Europa und den Vereinigten Staaten vor dem Europäischen Gerichtshof kein Bestand haben wird. „Das angeblich ‚neue‘ transatlantische Datenschutzabkommen stellt weitgehend eine Kopie des gescheiterten Privacy-Shield-Abkommens dar.“

Max Schrems geht davon aus, dass die Sache Anfang nächsten Jahres wieder vor dem EuGH landen wird.

Unser Fazit

Mit dem EU-US Data Privacy Framework wurde versucht, bisherigen Datenschutz-Problematiken hinsichtlich der Übermittlung von personenbezogenen Daten in die USA zu begegnen und entsprechende Lösungen zu finden. Weiterhin gibt es jedoch Bedenken, die nicht unerheblich sind. Auch wir als Datenschützer gehen davon aus, dass das EU-US Data Privacy Framework noch nicht das Ende der Diskussion ist und abschließend für Rechtssicherheit und somit auch Sicherheit für die personenbezognen Daten von EU-Bürgern sorgt.

Wir empfehlen, europäische Unternehmen mit Datenverarbeitungen zu beauftagen, eingehend zu prüfen, ob geeignete Garantien für Datenübermittlungen in Drittländer insbesondere die USA eingehalten werden können und ob überhaupt die Notwendigkeit besteht, Übermittlungen in die USA vorzunehmen.

Wir freuen uns jedoch, dass es positive Entwicklungen gibt und man bestrebt ist, Lösungen zu finden. Sollten Sie Unterstützung bei der Einhaltung rechtlicher Rahmenbedingungen für die Übermittlung von Daten in Drittländer benötigen, zögern Sie nicht und kommen gerne auf uns zu!