Die Datenübertragung zwischen der Europäischen Union und den Vereinigten Staaten hat eine neue Ära erreicht. Mit dem „EU-U.S. Data Privacy Framework“ wurde ein neues Datenschutzabkommen ins Leben gerufen, das die Grundlage für einen im Juni 2023 gefassten Beschluss der Europäischen Kommission bildet. Dieser erklärt das Datenschutzniveau für zertifizierte Unternehmen in den USA für angemessen. Dieser Artikel beleuchtet die Entwicklungen in Sachen „Datentransfer in die USA“ bis hin zum Erlass des neuen Angemessenheitsbeschlusses und erklärt, was unter einem solchen Angemessenheitsbeschluss zu verstehen ist.
Inhaltsverzeichnis
Die Vorgeschichte
Die Geschichte des Datenschutzes zwischen der EU und den USA ist geprägt von ständigen Veränderungen und Anpassungen. Vor dem „EU-U.S. Data Privacy Framework“ gab es bereits zwei andere Abkommen: Safe Harbor und Privacy Shield. Beide wurden jedoch vom Europäischen Gerichtshof (EuGH) aufgehoben, da sie nicht ausreichend Schutz für die Daten europäischer Bürger boten.
Im März 2022 einigten sich die Europäische Kommission und die US-Regierung auf das „EU-U.S. Data Privacy Framework“. Die Kommission veröffentlichte am 25. März 2022 in ihrem Factsheet folgende Grundprinzipien des Datenschutzabkommens: Daten können frei und sicher zwischen der EU und den teilnehmenden US-Unternehmen fließen. Ein neues Regelwerk und verbindliche Schutzmaßnahmen sollen den Zugriff der US-Nachrichtendienste beschränken. Es werden Verfahren etabliert, die eine wirksame Überwachung der neuen Standards gewährleisten. Ein neues zweistufiges Rechtsbehelfssystem soll sicherstellen, dass Beschwerden von EU-Bürgern über den Zugriff auf Daten durch US-Nachrichtendienste untersucht und behandelt werden. Es gelten strenge Verpflichtungen für US-Unternehmen, die aus der EU übermittelte Daten verarbeiten.
Die Entstehung des EU-U.S. Data Privacy Framework
Nach der Verkündung der grundsätzlichen Einigung lag der Ball auf der anderen Seite des Atlantiks. Die USA waren an der Reihe, die Grundprinzipien des Abkommens rechtlich abzusichern und diejenigen Aspekte des Datenschutzes in den USA zu adressieren, die im Jahr 2020 den Europäischen Gerichtshof (EuGH) zur Aufhebung des Privacy Shield veranlassten. Am 07.10.2022 hat US-Präsident Joe Biden hierzu ein entsprechendes Dekret erlassen. Durch diese Executive Order On Enhancing Safeguards for United States Signals Intelligence Activities (E.O.) werden unter anderem die US-Geheimdienste angewiesen, ihre Datenzugriffe auf ein verhältnismäßiges Maß zu beschränken.
Die Europäische Kommission hat am 13. Dezember basierend auf der Executive Order einen Entwurf für einen Angemessenheitsbeschluss nach Art. 45 DSGVO vorgelegt. Dieser musste das sog. Annahmeverfahren passieren. Hierzu wurde der Entwurf zunächst dem europäischen Datenschutzausschuss vorgelegt. Im Anschluss musste die Kommission die Zustimmung eines Ausschusses, bestehend aus Vertreter:innen der Mitgliedsstaaten, einholen. Zuletzt musste der Entwurf noch einer Kontrolle des Europäischen Parlaments standhalten. Erst danach konnte die Kommission den endgültigen Angemessenheitsbeschluss annehmen.
Das EU-U.S. Data Privacy Framework in der Praxis
Am 10. Juli 2023 war es dann so weit: Die Europäische Kommission hat den neuen Angemessenheitsbeschluss für die USA auf Grundlage des EU-U.S. Data Privacy Frameworks erlassen. Bereits ein paar Tage zuvor ist die offizielle Website für das neue Datenschutzabkommen online gegangen. Auf dieser ist zukünftig eine Liste mit den US-Unternehmen abrufbar, die sich nach dem neuen Mechanismus zertifiziert haben, lassen und an die somit ohne weitere Voraussetzungen personenbezogene Daten übermittelt werden dürfen.
Für alle EU-Unternehmen, die US-Dienste einsetzen und dadurch personenbezogene Daten in die USA übermitteln, ist mit dem EU-U.S. Data Privacy Framework und dem entsprechenden Angemessenheitsbeschluss eine deutliche Erleichterung eingetreten. Aus wirtschaftlicher Sicht ist diese Entwicklung zu begrüßen. Aber Vorsicht! Der Angemessenheitsbeschluss kommt nur dann als Transfermechanismus infrage, wenn das US-Unternehmen, an das personenbezogene Daten übermittelt werden sollen, über eine gültige Zertifizierung nach dem EU-U.S. Data Privacy Framework verfügt. Ist das nicht der Fall, ist weiterhin der Abschluss von Standardvertragsklauseln und die Durchführung eines Transfer-Impact-Assessments erforderlich.
Kritik am EU-U.S. Data Privacy Framework
Die Kritik an dem neuen Abkommen kommt unter anderem von der Heise Redaktion. In einem Artikel wird argumentiert, dass das neue Abkommen alte Fehler wiederholt und eine vertane Chance darstellt. Insbesondere wird kritisiert, dass die US-amerikanische Massenüberwachung weiterhin zulässig ist und das neu geschaffene „Gericht“ für Rechtsschutz in den USA nicht die Anforderungen des EuGH an ein faires Verfahren erfüllt.
Max Schrems, der inzwischen die Bürgerrechtsorganisation noyb mitgegründet hat, äußerte sich skeptisch zum neuen Abkommen. Er kritisierte, dass trotz der verschiedenen Abkommen – „Harbors“, „Umbrellas“, „Shields“ und „Frameworks“ – keine substanzielle Änderung des US-Überwachungsrechts erfolgt sei. Die aktuellen Presseerklärungen seien fast eine wortwörtliche Kopie derer von vor 23 Jahren.„Die bloße Behauptung, etwas sei ’neu‘, ‚robust‘ oder ‚wirksam‘, reicht vor dem Gerichtshof nicht au“, so Schrems.„Wir brauchten eine Änderung des US-Überwachungsrechts und die gibt es nicht.“
Fazit
Das „EU-U.S. Data Privacy Framework“ stellt einen wichtigen Schritt in der Entwicklung des Datenschutzes zwischen der EU und den USA dar. Es bietet eine rechtliche Grundlage für den Datentransfer und bringt damit eine gewisse Rechtssicherheit für Unternehmen. Gleichzeitig gibt es jedoch auch Kritik an dem neuen Abkommen. Es bleibt abzuwarten, ob es den Anforderungen des EuGH standhalten wird.
Quellen
