Am 10. Juli 2023 hat die Präsidentin der Europäischen Kommission Ursula von der Leyen auf Twitter das Inkrafttreten des Angemessenheitsbeschlusses für das Transatlantische Datenschutz-Frameworks (Trans-Atlantic Data Privacy Framework kurz TADPF) verkündet und den Datenschutz in den USA damit für gleichwertig erklärt.
Mit dem „Privacy Shield 2.0“ soll der rechtssichere Transfer personenbezogener Daten zwischen der EU und den USA gewährleistet werden, da das vorherige Abkommen im Juli 2020 vom europäischen Gerichtshof (EuGH) für ungültig erklärt wurde.
Obwohl die EU-Kommission den Datenschutz in den USA für gleichwertig erklärt hat und damit eine neue Rechtsgrundlage für Unternehmen schaffen wollte, geht die unendliche Geschichte wohl in die Verlängerung. Warum auch das neue Abkommen auf wackligen Füßen steht und der österreichische Datenschützer Max Schrems erneut in den Startlöchern steht, erklärt dieser Blogartikel.
Der EuGH hat sich im sogenannten „Schrems II“-Urteil maßgeblich auf die Überwachungsgesetze der USA bezogen. Zum einen widersprechen die Zugriffsmöglichkeiten der US-Nachrichtendienste den europäischen Datenschutzanforderungen und zum anderen sehen die Gesetze für diesen Fall nur Rechtsschutz für US-Bürger vor.
Diese Überwachungsmöglichkeiten sollten durch das Trans-Atlantic Data Privacy Framework eingeschränkt werden. Im Rahmen des Abkommens ist vorgesehen, dass EU-Bürgern künftig ein neues Rechtsbehelfsverfahren zur Verfügung steht. Ein zentraler Bestandteil dieses Verfahrens ist ein unabhängiges Datenschutzgericht, das aus Personen besteht, die keiner Regierung der USA angehören. Dieses Gericht hat die volle Autorität, über Klagen zu entscheiden und bei Bedarf entsprechende Abhilfemaßnahmen anzuordnen.
Gleichzeitig werden die US-Geheimdienste dazu angehalten, Verfahren einzuführen, die eine effektive Überwachung der neuen Standards zum Schutz der Privatsphäre und bürgerlichen Freiheiten gewährleisten.
Die Anfang Oktober 2022 von US-Präsident Biden erlassene Executive Order sollte zudem die rechtliche Position der EU-Bürger stärken, deren personenbezogene Daten in die USA übermittelt werden.
Dazu gehört die Verhältnismäßigkeitsprüfung des Zugriffs auf Daten von EU-Bürgern, ein Beschwerdeverfahren beim „Civil Liberties Protection Officer“ der Geheimdienste und die Möglichkeit, Entscheidungen vor dem „Data Protection Review Court“ anzufechten.
Dieser Überprüfungsgerichtshof kann verbindliche Entscheidungen treffen und bei Verstößen die Löschung von Daten anordnen.
Mit dem Inkrafttreten des Trans-Atlantic Data Privacy Framework besteht derzeit rechtliche Sicherheit, sofern sich die Unternehmen in den USA selbst diesem Datenschutzrahmen entsprechend zertifizieren.
Mit der Zertifizierung verpflichten sich US-amerikanische Unternehmen die Datenschutzrichtlinien des EU-U.S. Data Privacy Frameworks einzuhalten. Die Internationale Handelsbehörde (ITA) wird am 17. Juli 2023 die Data Privacy Framework-Programm-Website eröffnen, auf der US-Unternehmen ihre Selbstzertifizierungsanträge einreichen können.
Zu den neu vereinbarten Datenschutzverpflichtungen gehört unter anderem das Löschen von personenbezogenen Daten, sobald sie nicht mehr für den ursprünglichen Erhebungszweck benötigt werden. Darüber hinaus umfassen diese Verpflichtungen auch weitere Datenschutzgrundsätze wie die Datenminimierung, bei der nur die erforderlichen Daten erhoben werden.
Außerdem müssen die Unternehmen bis zum 10. Oktober 2023 ihre Datenschutzrichtlinien entsprechend aktualisieren. Ende Juni 2023 haben die nationalen Nachrichtendienste bestätigt, dass sie gemäß der Executive Order 14086 Bidens ihre Strategien und Verfahren angepasst haben.
Seitens der EU und den USA sind sich die Verantwortlichen einig: das neue Data Privacy Framework sei solide und erfülle alle Bedingungen des europäischen Gerichtshofs. Präsident Biden betont, dass die Entscheidung für den Angemessenheitsbeschluss das gemeinsame Engagement für einen starken Datenschutz widerspiegle und Ländern wie Unternehmen größere wirtschaftliche Chancen eröffne.
Bereits im Februar 2023 veröffentlichte der europäische Datenschutzausschuss (EDPB) eine Pressemitteilung. Darin begrüßte das Gremium die Verbesserungen wie die Einführung von Anforderungen, die den Grundsätzen der Notwendigkeit und Verhältnismäßigkeit für die nachrichtendienstliche Datenerhebung in den USA entsprechen, und den neuen Rechtsbehelfsmechanismus für betroffene Personen in der EU.
Gleichzeitig hat der Ausschuss Bedenken geäußert und um Klarstellungen zu mehreren Punkten gebeten. Diese betreffen insbesondere bestimmte Rechte betroffener Personen, die Weiterübermittlung, den Umfang der Ausnahmen, die vorübergehende Massenerfassung von Daten und die praktische Funktionsweise des Rechtsbehelfsverfahrens.
Auch Max Schrems, der österreichische Datenschützer und Jurist, kritisiert deutlich diese Aspekte. Ein Kritikpunkt ist das unterschiedliche Verständnis von Verhältnismäßigkeit zwischen den USA und der EU. Der EuGH hat festgestellt, dass die Massenüberwachung gemäß des Foreign Intelligence Surveillance Act (FISA 702) nicht mit dem Grundsatz der Verhältnismäßigkeit gemäß Artikel 52 der EU-Grundrechtecharta übereinstimmt. Trotz der Aufnahme des Wortes „verhältnismäßig“ in der US-Executive Order 14086, wird dem Begriff wohl in den USA eine andere Bedeutung beigemessen.
Ein weiteres Problem liegt bezüglich des Rechtsbehelfs im Rahmen des Datenschutzrahmens. Der EuGH hat festgestellt, dass der bisherige Rechtsbehelf über den „Ombudsmann“ des Privacy Shield nicht mit Artikel 47 der EU-Grundrechtecharta vereinbar ist. Obwohl der Mechanismus nun in einen „Civil Liberties Protection Officer“ (CLPO) und einen sogenannten „Gerichtshof“ aufgeteilt wurde, haben betroffene Personen keine direkte Interaktion mit diesen Stellen.
Laut Schrems bestehe in den USA und in der EU zwar Einigkeit darüber, dass FISA 702 grundlegende Rechte verletzt. Dennoch weigern sich die Vereinigten Staaten, das Gesetz zu reformieren und Nicht-US-Bürgern einen angemessenen Schutz ihrer Privatsphäre zu gewähren. Davon abgesehen ist die Executive Order kein Gesetz, das in Stein gemeißelt ist. Die von Biden erlassene Verordnung könnte vom nächsten US-Präsidenten wieder aufgehoben werden.
Für den Juristen ist klar, dass Trans-Atlantic Data Privacy Framework eine Kopie der bereits von ihm zu Fall gebrachten Regelwerke. Er und die gemeinnützige Organisation „none of your business“ (noyb) haben bereits „verschiedene juristische Optionen in der Schublade“.
Sobald das neue Abkommen von den ersten Unternehmen verwendet wird, kann es angefochten werden. Das bedeutet, dass sich der EuGH in einigen Monaten wieder mit dem Datenschutzabkommen auseinandersetzen muss. Sollten die ersten Klagen eingereicht werden, könnte das neue Abkommen für die Dauer des Verfahrens ausgesetzt werden.
Bisher konnten Unternehmen auf folgende Möglichkeiten zurückgreifen, um rechtssicher personenbezogene Daten in die USA zu transferieren. Es gibt Standardvertragsklauseln (SCC), die von der Europäischen Kommission im Zuge des Schrems II-Urteils angepasst wurden. Akzeptieren beide Vertragsparteien die Standardvertragsklauseln, ist keine weitere behördliche Genehmigung notwendig.
Jedoch sind diese zuletzt in europäischen Gerichtsverfahren in Frage gestellt worden. Ein prominentes Beispiel ist die Entscheidung der irischen Datenschutzbehörde, die gegen den US-Konzern Meta ein Bußgeld von 1,2 Mrd. Euro angeordnet und den Datentransfer in die USA untersagt hat.
Innerhalb einer international agierenden Konzerngruppe können zudem verbindliche interne Datenschutzrichtlinien, sogenannte „Binding Corporate Rules“ (BCR), formuliert werden. Im Gegensatz zu den Standardvertragsklauseln erfordern die BCR eine Genehmigung durch die Behörden, was den Aufwand für die Unternehmen entsprechend erhöht.
Trotz dieser beiden Möglichkeiten haben die US-Nachrichtendienste weiterhin Zugriff auf die Daten von EU-Bürgern und es besteht das Risiko, dass auch das TADPF wegen eines zu geringen Datenschutzniveaus in den USA aufgehoben wird. Ein solcher Prozess könnte sich drei bis fünf Jahre hinziehen und zur erneuten „Hängepartie“ für Unternehmen werden.
Sie wollen sich nicht in dieser Grauzone bewegen? Eine umfangreichere Rechtssicherheit bieten Ihnen Dienstleister, die ihre Daten in der EU verarbeiten und speichern. Hier ist sicher, dass die US-Geheimdienste keinen Zugriff auf die Daten erhalten. Achten Sie bei der Wahl Ihrer Dienstleister auch auf deren Subunternehmer.
Kommen Sie gerne auf uns zu, wenn Sie Interesse an DSGVO-konformen IT-Sicherheitslösungen haben.
