Privacy Shield 2.0: Rauschender Datenfluss zwischen der EU und den USA?
Am 10. Juli 2023 wurde der Angemessenheitsbeschluss der Europäischen Kommission für einen sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA („Datenschutzrahmen EU-USA“) verabschiedet. Dieser bietet nach jahrelanger Rechtsunsicherheit jedenfalls bis auf Weiteres eine gesicherte Basis für einen Transfer von personenbezogenen Daten in die USA. Der Angemessenheitsbeschluss bedeutet jedoch keinen Freifahrtschein für den Datentransfer in die USA.
Bedeutung des Angemessenheitsbeschlusses
Der rechtssichere transatlantische Datenaustausch war seit einem Urteil des EuGH aus 202 („Schrems-II“, hierzu unsere Sonderausgabe vom 21. Juli 2020) mit scheinbar unüberwindlichen Hindernissen konfrontiert. Grund ist ein durch den EuGH festgestelltes Gefälle im Schutzniveau personenbezogener Daten in der EU einerseits und den USA andererseits. Im Mittelpunkt der Kritik standen dabei in den USA geltende Gesetze wie der Foreign Intelligence Surveillance Act von 1978 und der Cloud-Act, die nach Auffassung des Gerichtshofs einen nicht hinreichend kontrollierten Zugriff auf personenbezogene Daten durch staatliche Behörden zuließen. Dieser Kritik versucht der nunmehr verabschiedete Angemessenheitsbeschluss zu begegnen, indem neue verbindliche Garantien eingeführt werden, die den Zugang von US-Geheimdiensten auf EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränken und EU-Bürgern einen hinreichenden Rechtsschutz sichern sollen.
Regelungsgehalt des EU-US Data Privacy Framework
Das Data Privacy Framework spricht primär US-amerikanische Organisationen und Unternehmen an. Diese können sich dem Datenschutzrahmen EU-USA anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten.
Darüber hinaus gibt es verbindliche Garantien, die den Zugriff auf Daten durch US-Nachrichtendienste beschränken. Der Europäische Gerichtshof hatte 2020 in seinem Urteil vorausgesetzt, dass der Datenschutz nur mit einer gesetzlichen Regelung eingeschränkt werden darf, die verhältnismäßig ist. Der neue Rechtsrahmen sieht zwei solcher Beschränkungen vor: Datenverarbeitung zum Zweck der Strafverfolgung sowie aus Gründen der nationalen Sicherheit. Um eine ausufernde Anwendung zu vermeiden, können EU-Bürgerinnen und Bürgern bei Zuwiderhandlung nicht nur auf Schadensersatz vor US-Gerichten klagen. Mit dem Data Protection Review Court steht ihnen auch ein Rechtsweg zu einer weiteren neu geschaffenen Kontrollinstanz offen.
Neben effektiven Mechanismen innerhalb der Unternehmen, um Beschwerden von Datensubjekten zu behandeln, wird die Einhaltung dieser Grundsätze des Datenschutzrahmens durch die Federal Trade Commission und das Department of Transportation als Aufsichtsbehörden gewährleistet. Zudem wird eine Streitbeilegungsstelle geschaffen und ein Schiedsverfahren eingerichtet.
Voraussetzungen für den Datentransfer: Zertifizierungsverfahren
Der bereits aus dem Privacy Shield 1.0 bekannte (Selbst-)Zertifizierungsmechanismus kommt zurück: Nur an entsprechend zertifizierte US-Unternehmen können auf der Grundlage des Datenschutzrahmens EU-USA rechtssicher Daten übermittelt werden. Erfolgreich zertifizierte Unternehmen werden in einer vom Ministerium veröffentlichten Liste geführt. Die Zertifizierung ist jährlich zu erneuern.
Für die übermittelnden Unternehmen wichtig ist dabei, dass der Datenschutzrahmens EU-USA ausschließlich die Frage eines angemessenen Datenschutzniveaus im Drittstaat nach
Art. 44 ff. DSGVO betrifft. Alle weiteren datenschutzrechtlichen Vorgaben, wie eine hinreichende Rechtsgrundlage, Maßnahmen zur Sicherstellung der Datensicherheit und Transparenz sowie hinreichende Verträge mit Auftragsverarbeitern und gemeinsam Verantwortlichen sind unabhängig davon zu erfüllen. Der Datenschutzrahmens EU-USA darf daher keinesfalls als Freifahrtschein verstanden werden. Viele der datenschutzrechtlichen Themen, insbesondere im Rahmen der Zusammenarbeit mit US-Branchengrößen wie Facebook, Microsoft und Co. bestehen damit unverändert fort.
Ausblick
Mit dem Datenschutzrahmens EU-USA steht erneut eine unkomplizierte Grundlage für den transatlantischen Datentransfer zur Verfügung, der eine enorme praktische Erleichterung bringt und Rechtssicherheit für Unternehmen schafft. Handlungsbedarf besteht für deutsche Unternehmen hinsichtlich der Anpassung ihres Datenschutzhinweises nach Artikel 13 DS-GVO, und auch alle sonstigen datenschutzrechtlichen Vorgaben müssen weiterhin individuell geprüft und beachtet werden.
Abzuwarten ist weiterhin, wie lange der Datenschutzrahmens EU-USA als Grundalge für den transatlantischen Datentransfer erhalten bleibt, denn eine gerichtliche Überprüfung durch den Europäischen Gerichtshof ist schon in die Wege geleitet. Ob die in Schrems-II attestierten Probleme wirklich behoben sind, wie die Europäische Kommission behauptet, wird sich dann zeigen.