Erleichterter Datentransfer in die USA - EU-Kommission verabschiedet EU-U.S. Data Privacy Framework

Worum geht es?

Die Über­mitt­lung per­so­nen­be­zo­ge­ner Da­ten ins Dritt­staa­ten außer­halb der EU ist nach der DS­GVO nur zulässig, wenn dort ein an­ge­mes­se­nes Da­ten­schutz­ni­veau vor­han­den ist. Art. 45 Abs. 3 der DS­GVO räumt der EU-Kom­mis­sion die Be­fug­nis ein, mit­tels Durchführungs­rechts­akts zu ent­schei­den, dass ein Nicht-EU-Land ein an­ge­mes­se­nes Schutz­ni­veau für die Pri­vat­sphäre gewähr­leis­tet. Ein an­ge­mes­se­nes Schutz­ni­veau liegt insb. dann vor, wenn die Da­ten im We­sent­li­chen dem Schutz­ni­veau in­ner­halb der EU ent­spre­chen. Die Wir­kung von An­ge­mes­sen­heits­be­schlüssen be­steht darin, dass per­so­nen­be­zo­gene Da­ten ohne wei­tere Hin­der­nisse frei aus der EU (und Nor­we­gen, Liech­ten­stein und Is­land) in das je­wei­lige Dritt­land fließen können.

© unsplash

Die Über­mitt­lung per­so­nen­be­zo­ge­ner Da­ten in die USA war seit den Snow­den-Enthüllun­gen re­gelmäßig Ge­gen­stand ge­richt­li­cher Überprüfun­gen durch den EuGH. Der EuGH hatte zu­letzt mit Ur­teil vom 16.07.2020 (Rs C-311/18, Fa­ce­book Ire­land / Schrems II) das bis­he­rige EU-U.S. Pri­vacy Shield für DS­GVO-wid­rig erklärt und da­mit seine Un­wirk­sam­keit fest­ge­stellt. Ins­be­son­dere mo­nierte der EuGH, dass vor dem Hin­ter­grund der Zu­griffsmöglich­kei­ten durch die US-Si­cher­heits­behörden die da­ten­schutz­recht­li­chen An­for­de­run­gen nicht erfüllt sind und der Rechts­schutz für Be­trof­fene un­zu­rei­chend sei. Da der Da­ten­aus­tausch zwi­schen der EU und den USA im wirt­schaft­li­chen Ver­kehr un­erläss­lich ist, ha­ben die EU-Kom­mis­sion und die US-Re­gie­rung un­mit­tel­bar Ge­spräche über einen neuen Rah­men auf­ge­nom­men und das EU-U.S. Data Pri­vacy Frame­work ins Le­ben ge­ru­fen

Neues EU-U.S. Data Privacy Framework

Auf der Grund­lage des neuen EU-U.S. Data Pri­vacy Frame­work können nun per­so­nen­be­zo­gene Da­ten si­cher aus der EU an am Pri­vacy Frame­work teil­neh­mende US-Un­ter­neh­men über­tra­gen wer­den, ohne dass zusätz­li­che Da­ten­schutz­vor­keh­run­gen ge­trof­fen wer­den müssen.

Dies ge­lingt, da das EU-U.S. Data Pri­vacy Frame­work neue ver­bind­li­che Ga­ran­tien einführt, um die vom EuGH geäußer­ten Be­den­ken aus­zuräumen. Das neue Rah­men­werk führt er­heb­li­che Ver­bes­se­run­gen ge­genüber dem bis­he­ri­gen un­ter dem Pri­vacy Shield be­ste­hen­den Me­cha­nis­mus ein. Es ist vor­ge­se­hen, dass der Zu­gang von US-Nach­rich­ten­diens­ten zu EU-Da­ten auf ein not­wen­di­ges und verhält­nismäßiges Maß be­schränkt wird. Wei­ter wird ein Ge­richt zur Da­ten­schutzüberprüfung ein­ge­rich­tet, sog. Data Pro­tec­tion Re­view Court, DPRC, zu dem Ein­zel­per­so­nen in der EU Zu­gang ha­ben. So­fern das DPRC fest­stellt, dass Da­ten un­ter Ver­stoß ge­gen die neuen Ga­ran­tien er­ho­ben wur­den, kann es ge­genüber den US-Behörden die Löschung der Da­ten an­ord­nen. Die neuen Schutzmaßnah­men im Be­reich des Da­ten­zu­griffs der Re­gie­rung sol­len die Ver­pflich­tun­gen ergänzen, de­nen US-Un­ter­neh­men beim Im­port von Da­ten aus der EU un­ter­lie­gen.

Pflichten für US-Unternehmen

Da­mit US-Un­ter­neh­men in den Vor­teil des EU-U.S. Data Pri­vacy Frame­works kom­men, müssen sie sich beim U.S. De­part­ment of Com­merce ent­spre­chend zer­ti­fi­zie­ren. Da­bei ver­pflich­ten sie sich, eine Reihe de­tail­lier­ter Da­ten­schutz­ver­pflich­tun­gen ein­zu­hal­ten. Diese um­fas­sen etwa die An­for­de­rung, per­so­nen­be­zo­gene Da­ten zu löschen, wenn sie für den Zweck, für den sie er­fasst wur­den, nicht mehr er­for­der­lich sind, und die Kon­ti­nuität des Schut­zes si­cher­zu­stel­len, wenn per­so­nen­be­zo­gene Da­ten mit Drit­ten ge­teilt wer­den. Die neue Re­ge­lung ohne zusätz­li­che Maßnah­men gilt nur dann, wenn das US-Un­ter­neh­men, an das die Da­ten über­mit­telt wer­den, nach dem EU-U.S. Data Pri­vacy Frame­work zer­ti­fi­ziert ist. Dies müssen die in der EU ansässi­gen Un­ter­neh­men vorab prüfen. Eine ent­spre­chende Liste mit zer­ti­fi­zier­ten Or­ga­ni­sa­tio­nen wird vom U. S. De­part­ment of Com­merce auf ei­ner neuen Web­seite zeit­nah veröff­ent­licht.

Rechte für EU-Bürger

EU-Bürger ste­hen meh­rere Rechts­be­helfe für den Fall zur Verfügung, dass ihre Da­ten von US-Un­ter­neh­men falsch ver­ar­bei­tet wer­den. Dazu gehören kos­ten­lose un­abhängige Streit­bei­le­gungs­me­cha­nis­men und eine Schlich­tungs­stelle. Ih­nen wird Zu­gang zu einem un­abhängi­gen und un­par­tei­ischen Rechts­be­helfs­me­cha­nis­mus bezüglich der Er­he­bung und Nut­zung ih­rer Da­ten durch US-Ge­heim­dienste gewährt. Zuständig hierfür ist der neu ge­schaf­fene Data Pro­tec­tion Re­view Court (DPRC).

Darüber hin­aus sieht der US-Rechts­rah­men eine Reihe von Schutzmaßnah­men für den Zu­griff auf Da­ten vor, die im Rah­men des Frame­works von US-ame­ri­ka­ni­schen Behörden über­mit­telt wer­den. Diese Schutzmaßnah­men be­zie­hen sich ins­be­son­dere auf Zwecke der Straf­ver­fol­gung und der na­tio­na­len Si­cher­heit.

Erleichterung des transatlantischen Datenverkehrs

Die von den USA ein­geführ­ten Schutzmaßnah­men wer­den auch den trans­at­lan­ti­schen Da­ten­ver­kehr all­ge­mein er­leich­tern. Sie gel­ten auch, wenn Da­ten mit­hilfe an­de­rer In­stru­mente wie Stan­dard­ver­trags­klau­seln und ver­bind­li­cher Un­ter­neh­mens­re­geln über­mit­telt wer­den.

Regelmäßige Evaluierungen

Die Funk­ti­ons­weise des EU-U.S. Data Pri­vacy Frame­work wird re­gelmäßigen Überprüfun­gen un­ter­zo­gen, die von der EU-Kom­mis­sion ge­mein­sam mit Ver­tre­tern eu­ropäischer Da­ten­schutz­behörden und zuständi­ger US-Behörden durch­geführt wer­den. Die er­ste Eva­lu­ie­rung wird in­ner­halb ei­nes Jah­res nach In­kraft­tre­ten des Frame­works statt­fin­den, um zu überprüfen, ob alle re­le­van­ten Ele­mente vollständig im US-Rechts­rah­men um­ge­setzt wur­den und in der Pra­xis wirk­sam funk­tio­nie­ren.

Ist jetzt alles gut?

Selbst­verständ­lich ist der An­ge­mes­sen­heits­be­schluss und das Pri­vacy Frame­work un­ter Da­ten­schützern nicht un­um­strit­ten. Be­reits im Vor­feld hat­ten so­wohl das EU-Par­la­ment als auch der Eu­ropäische Da­ten­schutz Aus­schuss - der Zu­sam­men­schluss der eu­ropäischen Auf­sichts­behörden für den Da­ten­schutz - Zwei­fel an den neuen Maßnah­men geäußert. Im Fo­kus steht da­bei ins­be­son­dere die Wirk­sam­keit der neu an­gekündig­ten Schutzmaßnah­men für die Be­trof­fe­nen aus der EU.

Auch der „Auslöser“ der Schrems-Recht­spre­chung des EuGH, Max Schrems, kündigte mit sei­ner Or­ga­ni­sa­tion noyb an, Da­tenüber­mitt­lun­gen auf Ba­sis des Pri­vacy Frame­works ge­richt­lich an­zu­fech­ten und so­mit eine er­neute Überprüfung durch den EuGH zu er­rei­chen. Noyb geht da­bei da­von aus, dass die von der EU-Kom­mis­sion fest­ge­stellte Verhält­nismäßig­keit der ge­trof­fe­nen Maßnah­men den An­for­de­run­gen des EuGH auch in der jet­zi­gen Aus­ge­stal­tung nicht aus­rei­chend Rech­nung trägt, da die Ände­run­gen an den Ge­heim­dienst­ge­set­zen in den USA nur un­zu­rei­chend seien.

Nur der EuGH und die EU-Kommission können den Angemessenheitsbeschluss kippen

Bis zu ei­ner Ent­schei­dung des EuGH über die Un­wirk­sam­keit des EU-U.S. Data Pri­vacy Frame­works ist es je­doch ein lan­ger Weg durch die In­stan­zen. Auch die Auf­sichts­behörden sind in­so­weit an den von der Kom­mis­sion er­las­se­nen Be­schluss ge­bun­den. So­fern die EU-Kom­mis­sion nicht im Rah­men der re­gelmäßigen Eva­lu­ie­rung den An­ge­mes­sen­heits­be­schluss zurück­nimmt, bleibt er bis zu ei­ner vorüber­ge­hen­den Aus­set­zung oder fi­na­len Ent­schei­dung durch den EuGH in Kraft und ist da­mit eine zulässige Rechts­grund­lage für die Über­mitt­lung per­so­nen­be­zo­ge­ner Da­ten an zer­ti­fi­zierte U.S.-Un­ter­neh­men.