Das EU-US Data Privacy Framework
Drei Jahre nachdem das zweite Privacy Shield im Juli 2020 vom EuGH außer Kraft gesetzt wurde, gibt es seit 10. Juli 2023 ein neues Datenschutzabkommen zwischen der EU und den USA. Die Verunsicherung der letzten Jahre soll nun ein Ende haben. Die Europäische Kommission und die USA haben sich auf einen Nachfolger des Privacy Shield Abkommens geeignet. Die EU hat das EU-US Data Privacy Framework veröffentlicht.
Folgende Rahmenbedingungen des EU-US Data Privacy Frameworks sollen einen freien und sicheren Datenfluss zwischen der EU und den USA gewährleisten:
- Neues Regelwerk und verbindliche Garantien, um den Datenzugriff der US-Geheimdienste auf das zu beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.
- Zweistufiges Rechtsbehelfssystem zur Untersuchung und Beilegung von Beschwerden von EU-Bürgern über den Zugang zu Daten durch US-Nachrichtendienste.
- Strengere Verpflichtungen für Unternehmen, die aus der EU übermittelte Daten verarbeiten, einschließlich einer Selbst-Zertifizierung.
- Spezifische Überwachungs- und Überprüfungsmechanismen.
Wozu wird ein Framework bei Drittlandtransfers benötigt?
Bei Datentransfers in ein Land außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraums (EWR) ist neben der Rechtsgrundlage für die Datenverarbeitung zusätzlich eine „Garantie“ für den Drittlandtransfer erforderlich. Für einige Drittstaaten hat die EU-Kommission eine solche Garantie mit einem sogenannten Angemessenheitsbeschluss geschaffen.
Für die USA stellte lange Zeit das Privacy Shield Abkommen diesen Angemessenheitsbeschluss dar. Dieses Abkommen ermöglichte eine unkomplizierte Datenübermittlung an Unternehmen, die Privacy-Shield-zertifiziert waren. Im Juli 2020 wurde dieses Abkommen gekippt. Im sogenannten Schrems-II-Urteil bemängelte der EuGH, dass
- das Privacy Shield Abkommen keinen dem Unionsrecht gleichwertigen Rechtsschutz gewährleistet
- die Zugriffsmöglichkeit von US-Geheimdiensten auf europäische Daten zu weitreichend ist
- die Betroffenen keine Möglichkeit hätten, ihre Rechte gegenüber den amerikanischen Behörden gerichtlich durchzusetzen.
Infolgedessen wurde das Privacy Shield Abkommen verworfen. Bis Juli 2023 bestand große Verunsicherung, unter welchen Bedingungen ein Datentransfer in die USA weiterhin möglich ist. Vor allem Unternehmen fürchteten Sanktionen und Beschwerden.
Ist die Übermittlung personenbezogener Daten in die USA wieder problemlos möglich?
Nach langer Rechtsunsicherheit gibt es nun eine neue Grundlage für die gemeinsame Datenschutzpolitik von EU und USA.
Bisher mussten Unternehmen bei der Übermittlung von Daten ein angemessenes Datenschutzniveau sicherstellen, indem sie unter anderem mit Tool-Anbietern aus den USA die von der EU-Kommission bereitgestellten Standardvertragsklauseln (SCC) abschlossen, alle mit der Datenübermittlung verbundenen Risiken prüften und ergänzende technische, organisatorische oder vertragliche Maßnahmen vereinbarten.
Unter dem neuen Framework können sich US-Unternehmen wie Google oder Meta zertifizieren und in eine Liste der US-Verbraucherschutzbehörde FTC für Unternehmen aufnehmen lassen, die die Grundsätze der DSGVO freiwillig befolgen. Sollte das Framework wieder gekippt werden, müssen die Voraussetzungen für einen sicheren Datentransfer in die USA wieder in jedem Einzelfall genau geprüft und gegebenenfalls zusätzliche Maßnahmen getroffen werden.
Wie geht es jetzt weiter?
Unternehmen und Verbrauchern steht nach langer Zeit wieder ein verbindliches Regelwerk zur Verfügung, unter dem der Transfer von Daten aus der EU in das Drittland USA grundsätzlich möglich ist. Allerdings regt sich bereits Kritik unter Datenschützer:innen. Sie bemängeln unter anderem, dass auch unter dem neuen Abkommen keine Änderung der Sicherheitsgesetze in den USA vorgenommen wurde, obwohl dies wohl erforderlich wäre, um die wesentlichen Kritikpunkte des Schrems II-Urteils zu adressieren.
Wie es in der Praxis weitergeht und ob das neue Framework Unternehmen für die nächsten Monate oder sogar Jahre Sicherheit bietet, bleibt also abzuwarten. Um beim Einsatz von Software aus den USA auf der sicheren Seite zu sein, sollten Unternehmen eng mit internen oder externen Datenschutzbeauftragten zusammenarbeiten.
So ist sichergestellt, dass unternehmensinterne Prozesse und die Nutzung von Tools den aktuellen rechtlichen Vorgaben und den Anforderungen der DSGVO entsprechen. Wenn Sie noch auf der Suche nach einem Partner sind, mit dem Datenschutz endlich verständlich wird und ohne Aufwand umsetzbar ist, beraten wir Sie gern.
