Neues Datenschutzabkommen zwischen der EU und den USA beschlossen
Veröffentlicht: 2023-08-02
Das Sprichwort „Aller guten Dinge sind drei“ werden sich die europäischen und amerikanischen Beteiligten gedacht haben und so wurde am 10. Juli 2023 der Angemessenheitsbeschluss der Europäischen Kommission verabschiedet. Die Übermittlung personenbezogener Daten in Drittstaaten außerhalb der EU ist nach der Datenschutzgrundverordnung nur dann zulässig, wenn dort ein angemessenes Datenschutzniveau besteht. Mit dem Beschluss hat die EU-Kommission somit die Grundlage für Datenübermittlungen zwischen der EU und den USA geschaffen.
Die Entwicklung eines geeigneten Datenschutzrahmens zwischen der EU und den USA hat sich als äußerst komplex erwiesen. Frühere Abkommen wie "Safe Harbor" erwiesen sich als unzureichend und wurden nach einer Klage des Datenschutzaktivisten Max Schrems für ungültig erklärt. Ähnlich erging es dem Nachfolgeabkommen "Privacy Shield". Die persönlichen Daten europäischer Internetnutzer seien in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt. Seit den Enthüllungen von Edward Snowden sind die staatlichen Zugriffsmöglichkeiten in die Kritik geraten. Daher sollte ein neues, umfassenderes Abkommen ausgearbeitet werden, das den Datenschutzbedenken besser Rechnung trägt.
Das neue EU-U.S. Data Privacy Framework (DFP) ermöglicht nun die sichere Übertragung personenbezogener Daten aus der EU an US-Unternehmen, die am Privacy Framework teilnehmen, ohne zusätzliche Datenschutzvorkehrungen treffen zu müssen. Dies wird durch die Einführung neuer verbindlicher Garantien erreicht, um die vom EuGH geäußerten Bedenken auszuräumen. Das Rahmenwerk bringt Verbesserungen im Vergleich zum bisherigen Mechanismus, dem Privacy Shield, mit sich. Der Zugang von US-Nachrichtendiensten zu EU-Daten wird auf ein notwendiges und verhältnismäßiges Maß beschränkt, und ein Data Protection Review Court (DPRC) wird eingerichtet, zu dem Einzelpersonen in der EU Zugang haben. Wenn das DPRC feststellt, dass Daten unter Verstoß gegen die neuen Garantien erhoben wurden, kann es die Löschung der Daten durch US-Behörden anordnen. Diese neuen Schutzmaßnahmen ergänzen die Verpflichtungen, denen US-Unternehmen beim Import von Daten aus der EU unterliegen.
Kommissionsbeschluss und das DFP werden naturgemäß von den Datenschützern kontrovers diskutiert. Sowohl das Europäische Parlament als auch der Europäische Datenschutzausschuss, der Zusammenschluss der europäischen Datenschutzaufsichtsbehörden, haben bereits im Vorfeld Zweifel an den neuen Maßnahmen geäußert. Insbesondere die Wirksamkeit der neu angekündigten Schutzmaßnahmen für Betroffene aus der EU steht im Mittelpunkt der Kritik. Auch die Positionierung der deutschen Aufsichtsbehörden ist nicht nur positiv (z.B. Thüringen und Hessen).
Max Schrems hat mit seiner Organisation noyb angekündigt, Datentransfers auf Basis des DFP gerichtlich anzufechten, um eine erneute Überprüfung durch den EuGH zu erreichen. Noyb ist der Auffassung, dass die von der EU-Kommission festgestellte Verhältnismäßigkeit der getroffenen Maßnahmen auch in ihrer jetzigen Ausgestaltung den Anforderungen des EuGH nicht ausreichend Rechnung trägt, da die Änderungen der Geheimdienstgesetze in den USA unzureichend seien.
Auswirkung auf die Praxis
US-Dienstleister, die nach dem DFP zertifiziert sind, können von europäischen Unternehmen eingesetzt werden. Das gleiche gilt auch für EU-Dienstleister, die DFP-zertifizierte US-Dienstleister einsetzen. Die (selbst-)zertifizierten Unternehmen könnten auf der DFP-Webseite eingesehen werden.
Für den Fall, dass das DFP vom EuGH für unwirksam erklärt wird, empfiehlt es sich weiterhin Standarddatenschutzklauseln mit US-Anbietern abzuschließen. Die Risikoabschätzung des EU-US-Datentransfers (Transfer Impact Assessment) sollte spätestens dann erstellt werden.
In Datenschutzinformationen (z.B. Datenschutzerklärung auf der Webseite) ist ebenfalls die Rechtsgrundlage, also das DFP, anzugeben. Diese Pflichtangabe ist daher zu aktualisieren.
Das Verzeichnis von Verarbeitungstätigkeiten muss analog der Änderung der Datenschutzinformationen aktualisiert werden. Darin sollten sowohl die US-Anbieter als auch andere US-Datentransfers aufgeführt und die Rechtmäßigkeit ihrer Durchführung erläutert werden. Zudem ist es wichtig, den Angemessenheitsbeschluss der EU-Kommission als Rechtsgrundlage anzugeben.
