EU-U.S. Data Privacy Framework – ein neuer Angemessenheitsbeschluss auf Zeit?

Worum geht es beim Angemessenheitsbeschluss?

Datenübermittlungen in die USA sind ein anhaltendes Diskussionsthema im Datenschutz. Grundsätzlich kann in den Vereinigten Staaten nicht von einem gleichwertigen Datenschutzniveau wie in Europa ausgegangen werden, weshalb nach europäischen Datenschutzrecht zusätzliche Garantien zum Schutz personenbezogener Daten bei Datenübermittlung in die USA getroffen werden müssen (z.B. Abschluss von Standarddatenschutzklauseln, Durchführung von Transfer-Impact-Assessments, etc.). Zeitgleich besteht ein starkes Interesse von Unternehmen, Daten in die USA zu übertragen, da die meisten Dienstleister der Tech-Industrie (Google, Zoom, AWS, Atlassian, etc.) ihren Hauptsitz in den USA haben.

Um diesem Konflikt zu begegnen, hat die Europäische Kommission einen sogenannten Angemessenheitsbeschluss getroffen, in dem die Gleichwertigkeit des Datenschutzniveaus in den USA offiziell anerkannt und damit die Datenübermittlung ohne weitere Maßnahmen ermöglicht wird. Nach den in der Vergangenheit gekippten Safe Harbor- und Privacy Shield-Abkommen, ist dies der dritte Angemessenheitsbeschluss der EU-Kommission.

Das neue EU-U.S. Data Privacy Framework und Zertifizierungen

Der neue Angemessenheitsbeschluss ist seit dem 10. Juli 2023 in Kraft und gilt seitdem unmittelbar. Da der neue Beschluss aber nur für die US-Unternehmen gilt, die sich zur Einhaltung der neuen Datenschutzregelungen verpflichtet haben und dem Abkommen beigetreten sind (zurzeit ca. 2.600 U.S.-Unternehmen), müssen europäische Unternehmen im Vorfeld des Datentransfers jeweils für den konkreten Fall prüfen, ob das betreffende U.S.-Unternehmen unter dem EU-U.S. Privacy Data Framework zertifiziert ist. Das U.S. Department of Commerce hat eine entsprechende Liste der zertifizierten Unternehmen veröffentlicht.

Im Ergebnis können Datenübermittlungen aus Europa an zertifizierte Stellen in den USA auf das EU-U.S. Data Privacy Framework gestützt werden können, ohne weitere Datenschutzgarantien treffen zu müssen. Um sich zertifizieren zu lassen, müssen die U.S.-Unternehmen eine Zahl von datenschutzrechtlichen Pflichten umsetzten und einhalten. Hierzu zählen, neben der Einhaltung der allgemeinen Datenschutzgrundsätze, auch die Verpflichtung zur Einhaltung der Datensicherheit, sowie die Pflicht zur Löschung personenbezogener Daten.

Die neuen Maßnahmen sehen insbesondere strengere Vorgaben für den Zugriff von US-Behörden auf Daten von EU-Bürgerinnen und -Bürgern vor. Der Zugriff der Sicherheitsbehörden soll auf ein notwendiges und verhältnismäßiges Maß beschränkt sein, wobei bereits die Auslegung des Wortlauts der „Verhältnismäßigkeit“ in der Praxis Fragen aufwerfen dürfte. So ist anzunehmen, dass die europäische Kommission und die U.S.-Behörden den Wortlaut der Verhältnismäßigkeit unterschiedlich auslegen werden. Weiterhin sollen die Aktivitäten der US-Geheimdienste intensiver beaufsichtigt werden. Außerdem sollen verschiedene unabhängige Rechtsbehelfsmechanismen der EU-Bevölkerung dabei helfen, sich gegen rechtswidrige Zugriffe auf ihre Daten zur Wehr zu setzten.

Datenschutzrechtliche Bedenken bleiben

Trotz des neuen Angemessenheitsbeschlusses gibt es immer noch zahlreiche datenschutzrechtliche Bedenken hinsichtlich des „immer noch niedrigen“ Datenschutzstandards in den USA. Insbesondere die Problematik bezüglich der Überwachungspraktiken der US-Regierung und der Zugriff von U.S.-Behörden auf personenbezogene Daten der EU-Bevölkerung sind mit europäischem Recht nicht vereinbar. Bereits kurz nach Veröffentlichung gibt es schon kritische Stimmen, die bezweifeln, ob das EU-US Data Privacy Framework wirklich den Anforderungen des europäischen Rechts genügt und damit einer gerichtlichen Überprüfung durch den Europäischen Gerichtshof (EuGH) standhält.

Ein unabhängiges Gremium soll den Anforderungen des EuGHs an einen gerichtlichen Rechtsbehelf entsprechen. Problematisch bleibt, ob die sehr allgemein formulierte Executive Order 14086, auf der die umfassenden Überwachungstätigkeiten der US-Geheimdienste gestützt werden, den hohen Anforderungen des EuGHs an klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme genügen wird. Des Weiteren ist unklar, wie die systematische Überwachung durch die US-Geheimdienste auf das vom EuGH geforderte „absolut notwendige Maß“ beschränkt werden soll.

Kritische Stimmen zum neuen Angemessenheitsbeschluss

Es ist davon auszugehen, dass sich das Schicksal des neuen Angemessenheitsbeschlusses erneut vor dem EuGH entscheiden wird. So hat die Nichtregierungsorganisation (NGO) „None-of-Your-Business“, die sich für den Schutz der Privatsphäre und die Stärkung der Datenschutzrechte von Bürgerinnen und Bürgern im digitalen Zeitalter einsetzt, bereits angekündigt, gerichtlich gegen das EU-US Data Privacy Framework vorgehen zu wollen.

Hauptkritik der Organisation ist, dass der neue Beschluss mit keinen wesentlichen Änderungen des US-Rechts einhergeht. Weiterhin führt die Organisation aus, dass sich die USA geweigert habe, FISA 702 zu reformieren, um einer Nicht-US-Bevölkerung einen angemessenen Schutz ihrer Privatsphäre gewähren zu müssen. Ausländische Staatsangehörige sollen weiterhin nach dem Willen der US-Regierung keine verfassungsmäßigen Rechte haben. Es bleibt abzuwarten, wann es zu einem erneuten Verfahren vor dem EuGH kommt und die Klage eingereicht wird. Nach Aussage von Max Schrems handelt es ich bei dem neuen "Trans-Atlantic Data Privacy Framework" lediglich um eine Kopie des Privacy Shield Abkommens. Datenschutzrechtliche Verbesserungen zum Schutz der EU-Bevölkerung seien nicht umgesetzt worden. Das neue Abkommen sei lediglich politischer Natur und verfolge nicht den Zweck, den transatlantischen Datentransfer datenschutzkonform auszugestalten.

Auch der französische Abgeordnete Philippe Latombe hat nach öffentlicher Berichterstattung angekündigt, das Data Privacy Framework vor dem EuGH anfechten zu wollen. Latombe argumentiert, das Abkommen verstoße nicht nur gegen die Grundrechtecharta der EU, sondern auch gegen die Vorgaben der DSGVO. Die gegebenen Garantien seien bei Weitem nicht ausreichend. Zudem rügte er, dass das Abkommen nur in englischer Sprache bekannt gemacht und nicht im Amtsblatt der EU veröffentlicht wurde.

Auch viele deutsche Aufsichtsbehörden sehen den neuen Angemessenheitsbeschluss eher skeptisch und gehen davon aus, dass dieser vor dem EuGH erneut zu Fall gebracht wird. Es ist anzunehmen, dass das Data Privacy Framework nicht lange Bestand haben wird und wir uns erneut auf eine komplexe Prüfung und den Abschluss von SCC und zusätzlichen Garantien einstellen müssen.

Was wir mitnehmen

Festzuhalten bleibt, dass eine Übermittlung personenbezogener Daten in die USA nur dann erfolgen darf, wenn vorab sichergestellt wird, dass es dort ein mit der EU vergleichbar hohes Datenschutzniveau gibt. Momentan stellt das EU-U.S. Data Privacy Framework eine solche Möglichkeit zur Absicherung von Übertragungen dar, sofern die Empfängerorganisationen entsprechend zertifiziert sind. Alte Kritikpunkte am mangelnden Datenschutzniveau in den USA bleiben jedoch bestehen.

Es kann unterstellt werden, dass die meisten Unternehmen in der Vergangenheit bereits Standardvertragsklauseln sowie zusätzliche Maßnahmen (wie die Risikoabwägung) ohnehin vereinbart bzw. durchgeführt haben. Das sollten sie auch zunächst fortführen. Für nicht zertifizierte US-Dienstleister ist es darüber hinaus ratsam, die neuen Standardvertragsklauseln einzubeziehen und, sofern erforderlich, zusätzliche Maßnahmen zu ergreifen. Alle ergriffenen Maßnahmen zur Absicherung des Datentransfers und zu Nachweiszwecken sollten dabei ausreichend dokumentiert werden.