Kann auf Basis der derzeitigen Data Privacy Framework Prinzipien eine Angemessenheitsentscheidung ergehen?

Einleitung

In unserem ersten Artikel der kurzen Beitragsreihe vom 29.03.2023 sind wir bereits auf die Kritikpunkte des Europäischen Datenschutzausschusses („EDSA“) am Entwurf des Angemessenheitsbeschlusses („Data Privacy Framework“) eingegangen.

Im Nachfolgenden möchten wir noch tiefer ins Detail gehen und weitere aufgekommene Kritiken anderer Stellen vorstellen.

Kurzer Rückblick: was ist und soll das Data Privacy Framework?

Grundsätzlich sieht das Data Privacy Framework („DPF“) eine Vielzahl von Grundsätzen und Regeln vor, um ein angemessenes Datenschutzniveau bei der Übermittlung von personenbezogen Daten zu gewährleisten. Die neuen Grundsätze sind, ebenso wie die vorherigen Safe Harbor Prinzipien und die Privacy Shield Prinzipien, an der Datenschutz-Grundverordnung orientiert und sollen ein mit der EU vergleichbares Datenschutzniveau herstellen.

Die Grundsätze wurden in Absprache von der Europäischen Kommission, der Industrie und anderen Interessengruppen entwickelt und werden als die „Schlüsselkomponente“ („key component“) des DPF beschrieben.

Sie sollen einerseits einen „praktischen Regelungsmechanismus“ („ready-to-use mechanism“) für die Datenübermittlungen aus der EU an die USA bieten, andererseits sollen die so übermittelten personenbezogene Daten gemäß EU-Rechtsvorschriften gesichert und geschützt werden. Man könnte also sagen, dass es sich bei den Grundsätzen um eine „light“-Version der Rechte und Pflichten der DS-GVO handelt.

An den Grundsätzen gibt es jedoch durchaus berechtigte Kritik, vor allem von Seiten des EDSA sowie von Mitgliedern des Europäischen Parlaments (MdEPs).

Wenngleich der EDSA die zahlreichen Aktualisierungen der Grundsätze für die Verarbeitung personenbezogener Daten begrüßt, so stellt er doch auch fest, dass eine Reihe von Grundsätzen im Wesentlichen die gleichen geblieben sind wie sie es bereits bei Safe Harbor und dem Privacy Shield waren (Article 29 Working Party, Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision).

Aus diesem Grund bleiben auch weiterhin einige Kritikpunkte bestehen, die bereits bei Safe Harbor und Privacy Shield bestanden, wie z.B. die Ausnahmen vom Auskunftsrecht, das Fehlen von Schlüsseldefinitionen oder die mangelnde Klarheit darüber, wie die Grundsätze auf Auftragsverarbeiter anzuwenden sind.

Darüber hinaus fordert der EDSA die Kommission direkt auf, konkreter zu werden. Es soll unter anderem eine klare Begrenzung für Ausnahmen von der Pflicht zur Einhaltung der Grundsätze geben.

Weiterhin wird in der Stellungnahme auch betont, wie wichtig eine wirksame Aufsicht und Durchsetzung des Datenschutzschildes in den USA ist.

Auch kündigt der EDSA an, die Wirksamkeit der neu geschaffenen Rechtsbehelfe, die den betroffenen Personen zur Verfügung stehen, genau beobachten zu wollen.

Gleichzeitig bringt der EDSA auch eine gewisse Besorgnis zum Ausdruck, unter anderem über die mögliche Massenerfassung von Daten oder über die mangelnde Überwachung, wenn es um die Frage der Einhaltung der Anforderungen der DSGVO gehe.

Insgesamt sieht der EDSA aber noch Klärungsbedarf vor allem, was die praktische Umsetzung angeht.

Dieser durchaus kritischen Haltung haben sich nun auch die MdEP in ihrer im April erschienenen Stellungnahme (s. Pressemitteilung vom 13.04.2023 und Resolution vom 11.05.2023) angeschlossen. Sie teilten ebenfalls die Ansicht, dass das vorgeschlagene DPF zwar eine Verbesserung im Vergleich zu den früheren Mechanismen darstelle, aber nicht ausreicht, um eine Angemessenheitsentscheidung für die Übermittlung personenbezogener Daten zu rechtfertigen.

Sie haben mit ihren Äußerungen klar zum Ausdruck gebracht, dass die Europäische Kommission den USA auf dieser Basis keinen Angemessenheitsbeschluss erlassen solle.

Wie der EDSA weisen auch die MdEP darauf hin, dass die neue Verordnung keine ausreichenden Garantien für eine Übermittlung bietet.

Die Mitglieder schließen sich im Wesentlichen den bereits von der EDSA vorgetragenen Kritikpunkten an, wie der bestehenden Möglichkeit der massenhaften Sammlung personenbezogener Daten, der Möglichkeit des Zugriffs von US-Behörden auf personenbezogene Daten von EU-Bürgern oder dem Umstand, dass die Entscheidungen des mit der US Executive Order (14086) geschaffenen Gerichts für den Betroffenen oberflächlich und intransparent bleiben und somit das Recht auf Auskunft und Berichtigung verletzen.

Die MdEP empfehlen eine Rahmenregelung zu finden, die den rechtsicheren Datentransfer zwischen der EU und den USA gewährleistet. Insbesondere solle mehr Rechtssicherheit statt mehr Rechtsunsicherheit geschaffen werden. Ein auf wackligen Beinen aufgestelltes DPF würde Gefahr laufen, das Schicksal seiner Vorgänger zu erleiden.  

Auch nach Ansicht von NOYB („None Of Your Business“), dem Europäischen Zentrum für digitale Rechte, würde ein Angemessenheitsbeschluss in seiner jetzigen Form einer Überprüfung durch den EuGH nicht standhalten. Damit würde der Kreislauf der Verhandlungen über einen sicheren Datentransfer zwischen der EU und den USA erneut in Gang gesetzt.

Fazit

Somit bleibt die Frage offen, ob die Europäische Kommission die Angemessenheitsentscheidung für Datenübermittlungen auf der Grundlage des derzeitig in seiner gültigen Fassung vorliegenden DPF trotz der Kritiken von EDSA und MdEP erlassen wird.

Sofern der Angemessenheitsbeschluss ergeht, können sich die europäischen Unternehmen jedoch auf diesen berufen, um Daten in die USA zu übermitteln und dies ohne zusätzliche Datenschutzgarantien einführen zu müssen.

Wir werden Sie über die weiteren Entwicklungen auf dem Laufenden halten.