Das EU-U.S. Data Privacy Framework

Zulässigkeit von Datenübermittlungen in die USA

Seit dem 10. Juli 2023 liegt das neu EU-U.S. Data Privacy Framework vor. Es sorgt für eine rechtliche Grundlage, personenbezogene Daten in zulässiger Weise an US-amerikanische Unternehmen zu übermitteln, sofern diese Unternehmen dem EU-U.S. Data Privacy Framework beigetreten sind.

1. Zusammenfassung

Die sogenannte Schrems II- Entscheidung des EuGH und die damit verbundene Aufhebung des „Privacy Shield“ hatte 2021 zu großer Unsicherheit bei der Übermittlung von personenbezogenen Daten in die USA geführt. Am 10.07.2023 hat nun die EU-Kommission den Nachfolger, das EU-U.S. Data Privacy Framework angenommen.

Wie beim Vorgängermodell müssen US-Unternehmen dem EU-US-Datenschutzrahmen beitreten, um einen Datenexport von der EU in die USA zu legitimieren; dieser Beitritt ersetzt jedoch nicht die Vereinbarung von Datenschutzverträgen zwischen Firmen innerhalb der EU und US-amerikanischen Unternehmen.

Mit dem EU-U.S. Data Privacy Framework liegt wieder eine ausreichende rechtliche Grundlage vor, ohne erweiterte Sicherheitsmaßnahmen, wie EU-Server oder Bring Your Own Key, personenbezogene Daten in die USA exportieren zu können – vorausgesetzt das US-Unternehmen ist dem EU-U.S. Data Privacy Framework beigetreten.

2. Datenschutzrechtlicher Hintergrund

Nach Artikel 45 Absatz 3 der Datenschutz-Grundverordnung (DSGVO) ist die Kommission befugt, im Wege eines Durchführungsrechtsakts zu beschließen, dass ein Nicht-EU-Land ein „angemessenes Schutzniveau“ gewährleistet – ein Schutzniveau für personenbezogene Daten, das im Wesentlichen dem Schutzniveau in der EU entspricht. Angemessenheitsbeschlüsse haben zur Folge, dass personenbezogene Daten aus der EU (sowie aus Norwegen, Liechtenstein und Island) ohne weitere Hindernisse frei in ein Drittland fließen können. Beispiele sind UK, Japan, Süd-Korea oder die Schweiz.

3. Verlauf seit dem Privacy Shield

Nachdem der Gerichtshof der Europäischen Union den früheren Angemessenheitsbeschluss zum EU-US-Datenschutzschild für ungültig erklärt hatte, nahmen die Europäische Kommission und die US-Regierung Gespräche über einen neuen Rahmen auf, der die vom Gerichtshof aufgeworfenen Fragen behandelt.

Im März 2022 gaben EU-Präsidentin von der Leyen und US-Präsident Biden bekannt, dass sie im Anschluss an Verhandlungen zwischen EU-Kommissarin Reynders und US-Ministerin Raimondo eine grundsätzliche Einigung über einen neuen transatlantischen Rahmen für den Datenverkehr erzielt hatten. Im Oktober 2022 unterzeichnete Präsident Biden eine Durchführungsverordnung über die Verbesserung der Schutzmaßnahmen für die Aktivitäten der Vereinigten Staaten im Bereich der Signalnachrichtendienste, die durch Verordnungen des US-Justizministers Garland ergänzt wurde. Mit diesen beiden Instrumenten wurden die im Rahmen des Grundsatzabkommens eingegangenen Verpflichtungen der USA in US-Recht umgesetzt und die Verpflichtungen der US-Unternehmen aus dem EU-U.S.-Datenschutzrahmen ergänzt. Ein wesentliches Element des US-Rechtsrahmens, in dem diese Schutzmaßnahmen verankert sind, ist die US-Exekutivverordnung „Enhancing Safeguards for United States Signals Intelligence Activities“, die den Bedenken Rechnung trägt, die der Gerichtshof der Europäischen Union in seiner Schrems-II-Entscheidung vom Juli 2020 geäußert hat. Diese Instrumente wurden erlassen, um die vom Gerichtshof in seinem Urteil in der Rechtssache Schrems II aufgeworfenen Fragen zu klären.

Für Europäer, deren personenbezogene Daten in die USA übermittelt werden, sieht die Executive Order Folgendes vor:

• Verbindliche Garantien, die den Zugriff auf Daten durch US-Nachrichtendienste auf das beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist;

• eine verstärkte Aufsicht über die Aktivitäten der US-Geheimdienste, um die Einhaltung der Beschränkungen von Überwachungsmaßnahmen zu gewährleisten; und

• die Einrichtung eines unabhängigen und unparteiischen Rechtsbehelfsmechanismus, zu dem auch ein neues Datenschutzprüfungsgericht gehört, das Beschwerden über den Zugriff der nationalen Sicherheitsbehörden der USA auf ihre Daten untersucht und entscheidet.

4. Neu seit 10. Juli 2023: Angemessenheitsbeschluss für zertifizierte US-Unternehmen

Am 10. Juli hat die Europäische Kommission ihren Angemessenheitsbeschluss für den EU-U.S.-Datenschutzrahmen angenommen. Der Angemessenheitsbeschluss kommt zu dem Schluss, dass die Vereinigten Staaten im Vergleich zur EU ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an US-Unternehmen übermittelt werden, die am EU-U.S.-Datenschutzrahmen teilnehmen.

US-Unternehmen können dem EU-U.S.-Datenschutzrahmen beitreten, indem sie sich verpflichten, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten, z. B. die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und die Kontinuität des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.

Im Allgemeinen sollten die Datenschutzgrundsätze wie Zweckbindung, Datenminimierung und Datenspeicherung, aber auch spezifische Verpflichtungen in Bezug auf die Datensicherheit und die Weitergabe von Daten an Dritte gewährleistet werden. Darüber hinaus sieht der US-Rechtsrahmen eine Reihe von Garantien für den Zugriff auf Daten vor, die auf der Grundlage des Rechtsrahmens von US-Behörden übermittelt werden, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu den Daten ist auf das beschränkt, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.

Zudem können EU-Bürger nunmehr mehrere Rechtsbehelfe in Anspruch nehmen, falls ihre Daten von US-Unternehmen falsch behandelt werden. Dazu gehören kostenlose unabhängige Streitbeilegungsmechanismen und ein Schlichtungsgremium. Einzelpersonen in der EU haben Zugang zu einem unabhängigen und unparteiischen Rechtsbehelfsverfahren in Bezug auf die Erhebung und Verwendung ihrer Daten durch US-Geheimdienste, zu dem auch ein neu geschaffenes Datenschutzprüfungsgericht [Data Protection Review Court (DPRC)] gehört. Das Gericht wird Beschwerden unabhängig untersuchen und schlichten, auch durch die Annahme verbindlicher Abhilfemaßnahmen.

Damit eine Beschwerde zulässig ist, müssen die Betroffenen nicht nachweisen, dass ihre Daten tatsächlich von US-Geheimdiensten erhoben wurden. Der Einzelne kann eine Beschwerde bei seiner nationalen Datenschutzbehörde einreichen, die dafür sorgt, dass die Beschwerde ordnungsgemäß weitergeleitet wird und dass der Einzelne alle weiteren Informationen über das Verfahren – auch über das Ergebnis – erhält. Auf diese Weise wird sichergestellt, dass sich der Einzelne an eine Behörde in seiner Nähe und in seiner eigenen Sprache wenden kann. Die Beschwerden werden vom Europäischen Datenschutzausschuss an die Vereinigten Staaten weitergeleitet.

Die von den USA eingeführten Garantien werden auch den transatlantischen Datenverkehr im Allgemeinen erleichtern, da sie auch bei der Übermittlung von Daten unter Verwendung anderer Instrumente wie Standardvertragsklauseln und verbindlicher Unternehmensregeln gelten.

5. Einschätzung und Empfehlung

Es ist zu erwarten, dass zunächst die Konzerne und Großunternehmen mit Fokus auf den europäischen Markt dem EU-U.S.- Datenschutzrahmen beitreten und kurzfristig Rechtssicherheit für die Übermittlung von Daten in die USA geschaffen werden kann. Allerdings sind bereit jetzt Klagen in Vorbereitung, da nach Ansicht der SchremsII-Bewegung nach wie vor der erforderliche Schutz für EU-Bürger nicht gegeben sei.

Die bestehenden Datenschutzvereinbarungen mit Standardvertragsklauseln sind weiterhin gültig, der Neuabschluss von Standardvertragsklauseln jedoch nicht mehr erforderlich, wenn das US-Unternehmen bereits seinen Beitritt zum EU-U.S. Datenschutzrahmen erklärt hat (hier können Sie dies prüfen: https://www.dataprivacyframework.gov/s/participant-search). Die bislang ergriffenen zusätzlichen Sicherheitsmaßnahmen (z.B. Hosting auf EU-Servern) sind weiterhin empfehlenswert. Gleichwohl lässt sich eine Art doppelter Boden einziehen, wenn der Datenimporteur dem Datenschutzrahmen beigetreten ist. Sollte das EU-U.S. Datenschutzrahmenwerk vor dem EuGH trotz Klagen bestehen, existiert eine langfristige Basis zur Datenverarbeitung in den USA, die auch längerfristige Investitionen in die Inanspruchnahme von US-Dienstleistungsunternehmen ohne besonderes Datenschutzrisiko gestattet.