EU-US Data Privacy Framework

in

Das „EU-US Data Privacy Framework“ – eine rechtssichere Grundlage für Datenübermittlungen in die USA?

Das „Data Privacy Framework (DPF)“ ist der mittlerweile dritte Versuch der EU-Kommission und der US-Regierung, einen stabilen und rechtssicheren Datenschutzrahmen für den transatlantischen Datentransfer zwischen der EU und den USA zu schaffen. Das DPF gilt seit dem 10.07.2023 und ist der Nachfolger des vom Europäischen Gerichtshof (EuGH) für ungültig erklärten Privacy Shield (Urteil vom 16.07.2020, Az.: C-311/18, Schrems II).

Wofür das „Data Privacy Framework“ da ist

Das DPF bildet die Grundlage des Angemessenheitsbeschlusses der Kommission, in dem festgestellt wurde, dass die USA ein angemessenes Datenschutzniveau für personenbezogene Daten von EU-Bürgern gewährleisten. Ein solcher Angemessenheitsbeschluss ist für die USA erforderlich, da sie im Sinne der DSGVO als „Drittland“ (= Land, das kein EU-Mitgliedsstaat ist, mit Ausnahme der drei zusätzlichen Staaten des Europäischen Wirtschaftsraums) gelten. Datenübermittlungen in Drittländer sind nur dann zulässig, wenn neben der Einhaltung der allgemeinen Vorgaben der DSGVO eine legitimierende Rechtsgrundlage für den Datentransfer in das Drittland vorliegt (Art. 44 Abs. 1 S. 1 DSGVO). Die praktikabelste Legitimation stellt ein Angemessenheitsbeschluss für ein Drittland dar. Er reduziert den administrativen Aufwand für Datenexporteure und bietet insgesamt viele Vorteile für die beteiligten Parteien und könnte daher als eine Art Idealzustand angesehen werden.

Warum ein verlässlicher Datenschutzrahmen zwischen der EU und den USA so wichtig ist

Angesichts der engen wirtschaftlichen, politischen und strategischen Beziehungen zwischen der EU und den USA ist der transatlantische Datenverkehr von großer Bedeutung. Daher liegt es im beiderseitigen Interesse, dass Verantwortliche und Auftragsverarbeiter in der EU eine unkomplizierte und rechtssichere Möglichkeit haben, personenbezogene Daten in die USA zu übermitteln. Die transatlantischen Datenübermittlungen zwischen der EU und den USA sind die größten Datenströme weltweit. Der jährliche Datenfluss wird vom US-Handelsministerium auf ein Handels- und Investitionsvolumen von 1 Billion US-Dollar (ca. 930 Milliarden Euro) geschätzt.

Gründe für die Ungültigkeit der vorherigen Datenschutzrahmen

Die vorherigen Angemessenheitsentscheidungen zum Safe-Harbor-Abkommen und zum Privacy Shield wurden beide vom EuGH in den Schrems-Urteilen für ungültig erklärt. Hauptgrund für diese Entscheidungen war die unzureichende Berücksichtigung des Schutzes vor Zugriffen der US-Geheimdienste auf personenbezogene Daten von EU-Bürgern.  Der EuGH kritisierte insbesondere am Privacy Shield, dass die Regelungen für Zugriffe der US-Behörden zu weit gefasst und nicht ausreichend durch klare und präzise Regelungen eingeschränkt seien. Auch der Rechtsbehelf, der den EU-Bürgern gegen die US-Geheimdienste zur Verfügung stand, entsprach nicht den EU-Standards für einen wirksamen und durchsetzbaren Rechtsbehelf. Der Rechtsbehelf bestand in der Einschaltung eines Ombudsmanns, der als nicht unabhängig galt und dessen Entscheidungen für die US-Geheimdienste keinerlei verbindliche Konsequenzen hatten.

Neue Inhalte des „Data Privacy Frameworks“

Die Bedenken des EuGH zum Privacy Shield sieht die EU-Kommission nun mit dem Data Privacy Framework als ausgeräumt an. Die Lösung sollte die Executive Order 14086 der US-Regierung sein, die die Grundlage für die Neuerungen des DPF bildet.

Neu sind insbesondere ausdrücklich genannte Zweckverfolgungsverbote für die Erhebung personenbezogener Daten durch die US-Behörden, wie z.B. zur Unterdrückung der freien Meinungsäußerung. Die aufgezählten legitimen Zweckverfolgungsziele wurden lediglich etwas detaillierter beschrieben, ohne sie nennenswert einzuschränken.

Außerdem wurden die Begriffe „Verhältnismäßigkeit“ und „Erforderlichkeit“ in Bezug auf die Datenverarbeitung eingeführt. Diese Prinzipien sollen insbesondere die Möglichkeit der Sammelerhebung personenbezogener Daten einschränken.

Darüber hinaus wurde ein neuer zweitstufiger Rechtsschutzmechanismus eingeführt, der auf der ersten Stufe dem Ombudsmann unter dem Privacy Shield sehr ähnlich ist. Auf der zweiten Stufe steht ein mit unabhängigen Richtern besetzter „Data Protection Review Court“, der jedoch kein echtes Gericht darstellt. Dessen Entscheidungen sind nunmehr für die US-Geheimdienste bindend.

Und sonst? …eher viel Altes unter neuem Namen!

Die Neuerungen halten sich im Übrigen in Grenzen. Im Großen und Ganzen bleiben sehr viele Inhalte gleich. Der Selbstzertifizierungsmechanismus ist mit den Datenschutzgrundsätzen nahezu identisch geblieben. Dieser wurde zwar beim Privacy Shield vom EuGH nicht ausdrücklich beanstandet, jedoch gibt es auch hier gewichtige Kritikpunkte, die bei genauerer Prüfung durch den EuGH dazu führen könnten, dass kein angemessenes Schutzniveau erreicht wird.

Als Beispiel sei hier genannt, dass es weiterhin zahlreiche Ausnahmen vom Auskunftsrecht für US-Organisationen gibt. In einigen Fällen können sie den betroffenen Personen die Auskunft verweigern. Im Vergleich zum Auskunftsrecht in der DSGVO ist das Auskunftsrecht im DPF deutlich abgeschwächt.

Das „Data Privacy Framework“ – eine dauerhafte Lösung?

Das DPF wird von der Kommission als nun dauerhafte Lösung bezeichnet (eine andere Darstellung blieb der Kommission wohl auch nicht). Bei näherem Hinsehen wird jedoch deutlich, dass viele Inhalte im Vergleich zum Vorgänger unverändert geblieben sind und bekannte Probleme weiter bestehen könnten.

Die zulässigen Zwecke für den Datenzugriff auf personenbezogene Daten von EU-Bürger durch US-Behörden lassen nach wie vor einen weiten Interpretationsspielraum zu. Ob die im US-Recht neu eingeführten Begriffe der „Verhältnismäßigkeit“ und „Erforderlichkeit“ tatsächlich zu einer angemessenen Einschränkung der Datenerhebung durch US-Geheimdienste führen werden, bleibt in der Praxis zu beobachten. Dies könnte jedoch bezweifelt werden, wenn die Begriffe nicht ähnlich streng wie im EU-Recht ausgelegt werden.

Als besonders problematisch könnte sich auch die unverändert gebliebene Section 702 des Foreign Intelligence Surveillance Act (FISA) erweisen. Diese Gesetzesgrundlage stand vor allem im Fokus des EuGH im Schrems II-Urteil. Sie dient den US-Geheimdiensten weiterhin als Generealklausel für sämtliche Überwachungstätigkeiten gegenüber EU-Bürgern.

Auch am neuen zweistufigen Rechtsschutzmechanismus wird bereits Kritik geübt. Hinsichtlich der Unabhängigkeit, wird kritisiert, dass die Richter (auf der 2. Stufe) von der Exekutive ernannt werden und hier eine Einflussnahme nicht ausgeschlossen werden kann. Zudem finden die Verfahren unter jeglichen Ausschluss der Öffentlichkeit statt und eine wirksame Beteilung des Beschwerdeführers am Verfahren ist nicht wirklich vorgesehen. Diese Aspekte sprechen grundsätzlich gegen einen gleichwertigen Rechtsbehelf im Sinne des Art. 47 der EU-Grundrechte-Charta. Der Art. 47 der EU-Grundrechte-Charta gewährt den EU-Bürgern einen wirksamen Rechtsbehelf als Grundrecht.

Die Neuerungen des DPF können zwar als Verbesserung des Datenschutzniveaus bewertet werden, es ist jedoch sehr fraglich, ob die Neuerungen tatsächlich ein angemessenes Schutzniveau gewährleisten, das im Wesentlichen dem in der EU entspricht.

Kommt eine Schrems-III Entscheidung?

Die Beurteilung, ob das DPF ein angemessenes Schutzniveau darstellt, bleibt letztlich dem EuGH vorbehalten. Die Gegenargumente sind jedoch nicht von der Hand zu weisen. Gegenwärtig könnte man zu der Auffassung kommen, dass das DPF vom EuGH nur dann als hinreichend angemessen eingestuft werden könnte, wenn der EuGH seine hohen Anforderungen senkt und einen anderen Prüfungsmaßstab anlegt. Bis zu einer Entscheidung des EuGH könnten aber noch mindestens 3 Jahre vergehen, auch aus dem Grund, da Stand heute noch kein Verfahren zum DPF beim EuGH anhängig ist. Zumindest bis zu einer erneuten Ungültigkeitsentscheidung des EuGH ist somit eine rechtssichere Datenübermittlung auf Grundlage des DPF möglich.

„None Of Your Business“ (NOYB), die Bürgerrechtsorganisation des Aktivisten Max Schrems, hatte bereits in einer Stellungnahme zum DPF rechtliche Schritte angekündigt. NOYB ist der Auffassung, dass die Änderungen gegenüber dem Privacy Shield nicht ausreichend sind und die festgestellten Probleme des EuGH nicht wirklich gelöst sein.

Insgesamt bleibt zu wünschen, dass für alle Beteiligten eine dauerhafte und rechtssichere Grundlage für den transatlantischen Datenverkehr geschaffen wird.

 

Sie haben Fragen zum Data Privacy Framework?

Mehr erfahren!

 

Das könnte Sie auch interessieren:
DSGVO-konformer Einsatz Consent-Tools , Cookie-BannernDSGVO-KONFORMER EINSATZ VON CONSENT-TOOLS
Hackerangriff von Ransom Cartel am KundenbeispielANGRIFFSSZENARIO von Ransom Cartel
Risiko Cloud Computing beispielhaft Diagnosedaten Microsoft Office 365RISIKEN DES CLOUD COMPUTING
Cybercrime, ein lohnendes GeschäftCYBERCRIME, EIN LOHNENDES GESCHÄFT
Business Frühstück zum Datenschutz mit Vorträgen zum Cloud Computing, Whistleblower-Richtlinie und Consent Tools.DATENSCHUTZ KANN AUCH LECKER SEIN