Steht das Data Privacy Framework vor dem Aus?

DATA PRIVACY FRAMEWORK VOR DEM AUS?

in

Wackelt der transatlantische Datenschutz erneut?

Das Data Privacy Framework (DPF) steht vor neuen Herausforderungen. Ursprünglich wurde es im Juli 2023 unter der Biden-Regierung durch EO 14086, die den Angemessenheitsbeschluss begründet, eingeführt und sollte den transatlantischen Datenaustausch erleichtern und gleichzeitig den Datenschutz der europäischen Bürger durch Mechanismen wie den Data Protection Review Court (DPRC) stärken. Das DPRC ist eine unabhängige Instanz, die Beschwerden über den Zugriff auf Daten durch US-Behörden prüft und Betroffenen aus der EU Rechtsschutz gewährt. Politische und rechtliche Entwicklungen stellen jedoch den Fortbestand des Abkommens in Frage.

Die Gefahr: Ohne einen rechtssicheren transatlantischen Datenaustausch können US-Dienstleister, aus datenschutzrechtlicher Sicht, nicht mehr eingesetzt werden.

Die Trump-Regierung verändert derzeit viele Strukturen innerhalb der US-Regierung. Dabei wurde auch das Privacy Liberties Oversight Board (PCLOB) auf den Prüfstand gestellt. Das PCLOB überprüft, ob Maßnahmen zur Terrorismusbekämpfung die Privatsphäre und Bürgerrechte, auch im Hinblick auf Datenverarbeitung wahren. Trump hat drei demokratische Mitglieder entlassen, ohne neue zu ernennen. Damit ist das Quorum im PCLOB nicht mehr erreicht, um neue Untersuchungen einzuleiten. Dies hat zur Folge, dass die USA über kein handlungsfähiges Aufsichtsgremium für das DPF verfügen.

Trump und die DSGVO: Ein alter Konflikt flammt auf

Mit der zweiten Amtszeit von Donald Trump wächst die Sorge, dass der DPF an Stabilität verlieren könnte. Vor allem im Hinblick auf das sog. Project 2025, das Trump zugerechnet wurde, waren die Befürchtungen, dass das DPF nicht lange besteht, in der Diskussion. Bereits in seiner ersten Amtszeit zeigte Trump wenig Interesse am Datenschutz und setzte das bisherige Privacy Shield-Abkommen nicht konsequent um. Darüber hinaus wurde die Datenschutz-Grundverordnung (DSGVO) von seiner Regierung als Hindernis für US-Unternehmen kritisiert. Jetzt könnte er das gesamte DPF in Frage stellen, was zu neuen Unsicherheiten beim transatlantischen Datentransfer führen würde.

Schrems und noyb: Wird das DPF der nächste Fall für den EuGH?

Darüber hinaus gibt es rechtliche Herausforderungen. Die von Max Schrems geleitete Datenschutzorganisation „noyb“ plant, den Angemessenheitsbeschluss der EU-Kommission vor dem Europäischen Gerichtshof (EuGH) anzufechten, wie sie es bereits mit den Vorgängerabkommen Safe Harbor und Privacy Shield getan hat, die beide für nichtig erklärt wurden. Das Europäische Parlament hat die EU-Kommission bereits in einem Schreiben vom 6. Februar aufgefordert, die Angemessenheitsentscheidung zum DPF zu überprüfen. Eine positive Beurteilung erscheint unter diesen Umständen kaum mehr zu rechtfertigen sein.

Gründe für die Ungültigkeit der vorherigen Datenschutzrahmen

Die vorherigen Angemessenheitsentscheidungen zum Safe-Harbor-Abkommen und zum Privacy Shield wurden beide vom EuGH in den Schrems-Urteilen für ungültig erklärt. Hauptgrund für diese Entscheidungen war die unzureichende Berücksichtigung des Schutzes vor Zugriffen der US-Geheimdienste auf personenbezogene Daten von EU-Bürgern.  Der EuGH kritisierte insbesondere am Privacy Shield, dass die Regelungen für Zugriffe der US-Behörden zu weit gefasst und nicht ausreichend durch klare und präzise Regelungen eingeschränkt seien. Auch der Rechtsbehelf, der den EU-Bürgern gegen die US-Geheimdienste zur Verfügung stand, entsprach nicht den EU-Standards für einen wirksamen und durchsetzbaren Rechtsbehelf. Der Rechtsbehelf bestand in der Einschaltung eines Ombudsmanns, der als nicht unabhängig galt und dessen Entscheidungen für die US-Geheimdienste keinerlei verbindliche Konsequenzen hatten.

Rechtsunsicherheit für Unternehmen: Welche Alternativen gibt es?

Ohne einen gültigen Rahmen für den transatlantischen Datenverkehr werden Datenübermittlungen an zertifizierte US-Unternehmen im aus datenschutzrechtlicher Sicht wieder sehr problematisch. EU-Unternehmen sollten sich daher nicht allein auf das DPF verlassen. Solange der Angemessenheitsbeschluss in Kraft ist, kann er zwar als Rechtsgrundlage herangezogen werden, Alternativen wie Standardvertragsklauseln (SCC) sollten jedoch in Betracht gezogen werden. Jedoch bieten diese auch keine garantierte Rechtssicherheit. In Anbetracht des durchzuführenden Transfer Impact Assessment (TIA), kann man durchaus zu dem Ergebnis kommen, dass das Risiko einer Datenübermittlung in die USA, beim aktuellen politischen Kurs Trumps, zu hoch ist, als das SCC anwendbar wären.

Was kann die EU-Kommission tun?

Die EU-Kommission steht vor der Herausforderung, dass eine rasche Abschaffung des DPF erhebliche Spannungen mit der US-Technologieindustrie und einen weitreichenden Konflikt mit der Trump-Regierung nach sich ziehen könnte, während Untätigkeit das Risiko birgt, dass der Europäische Gerichtshof das Abkommen aufgrund seiner möglichen Unvereinbarkeit mit dem europäischen Datenschutzrecht ohnehin für ungültig erklärt.

Was also nun tun?

Europäische Unternehmen stehen vor der Herausforderung, dass Dienstleister aus den USA und generell die Datenübermittlung in die USA u.U. nicht mehr in Betracht kommen. Die Umstellung auf Alternativen gestaltet sich zwar nicht selten als aufwendig, sollte aber dennoch in Betracht gezogen werden. Um sich einen Überblick über europäischen Alternativen zu den üblicherweise in Unternehmen eingesetzten Softwareprodukten zu verschaffen, stellt bspw. die Webseite „European Alternatives“ einen guten Anlaufpunkt dar.

Es bleibt abzuwarten, wie lange das DPF noch Bestand haben wird. Ohne das PCLOB dürfte dies voraussichtlich nicht mehr lange der Fall sein.

 

Sie haben Fragen zum Data Privacy Framework?

Mehr erfahren!

 

Niels Feldberg, Datenschutz Consultant, Wirtschaftsjurist LL.B.Niels Feldberg ist Consultant für Datenschutz bei Biehn & Professionals. Mit seiner Expertise unterstützt er Unternehmen dabei, ihren Datenschutz zu optimieren und die gesetzlichen Anforderungen zu erfüllen. Sein Wissen erstreckt sich über alle relevanten Datenschutzvorgaben, von der DSGVO bis zu den neuesten Entwicklungen in der Rechtsprechung. Niels Feldberg ist stets auf dem neuesten Stand und bietet praxisorientierte Lösungen für komplexe datenschutzrechtliche Herausforderungen.

Das könnte Sie auch interessieren:
Ein Datenschutzsverstoß bringt der Linden Apotheke eine Wettbewerbsklage ein.WETTBEWERBSKLAGE DANK DATENSCHUTZVERSTOSS
DSGVO-konformer Einsatz Consent-Tools , Cookie-BannernDSGVO-KONFORMER EINSATZ VON CONSENT-TOOLS
EU-US Data Privacy Framework
Business Frühstück zum Datenschutz mit Vorträgen zum Cloud Computing, Whistleblower-Richtlinie und Consent Tools.DATENSCHUTZ KANN AUCH LECKER SEIN
Hackerangriff von Ransom Cartel am KundenbeispielANGRIFFSSZENARIO von Ransom Cartel
Risiko Cloud Computing beispielhaft Diagnosedaten Microsoft Office 365RISIKEN DES CLOUD COMPUTING
Cybercrime, ein lohnendes GeschäftCYBERCRIME, EIN LOHNENDES GESCHÄFT
NIS 2 im Fokus beim Business FrühstückNIS-2 IM FOKUS: INSIGHTS VOM BUSINESS FRÜHSTÜCK