Trotz Kritiken am Data Privacy Framework – die EU Kommission erklärt die USA als sicheres Drittland

Einleitung

Die Europäische Kommission hat am 10. Juli 2023 den neuen Angemessenheitsbeschluss Trans-Atlantic Data Privacy Framework für den Datenschutzrahmen EU-USA angenommen.

Die Europäische Kommission hat beschlossen, dass es sich bei den Vereinigten Staaten um ein Drittland mit gleichwertigem Schutzniveau für personenbezogene Daten, vergleichbar mit dem der EU, handelt und damit weitere Schutzmaßnahmen bei der Datenübermittlung entfallen, wenn das jeweilige US-Unternehmen sich dem Datenschutzrahmen anschließt, mithin die Einhaltung der Datenschutzpflichten gewährleistet. Laut Kommissionspräsidentin Ursula von der Leyen führe das auf beiden Seiten zu mehr Rechtssicherheit.

Was ist neu?

Der Zugang der US-Nachrichtendienste auf EU-Daten bleibe dabei, laut Kommission, auf ein notwendiges und verhältnismäßiges Maß beschränkt. Was darunter zu verstehen ist, wird nicht konkretisiert. Als Rechtsbehelfe bzw. überprüfende Stellen bei nicht ordnungsgemäßer Behandlung der Daten durch US-Unternehmen sind ein Civil Liberties Protecition Officer (CLPO) und ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) vorgesehen, an die Einzelpersonen sich wenden können. Das Gericht soll feststellen, ob bei der Datenerhebung gegen Garantien verstoßen wurde und kann die Löschung der Daten anordnen. Ob Verstöße festgestellt wurden und Abhilfemaßnahmen getroffen wurden, wird dem Beschwerdeführer nicht mitgeteilt.

US-Unternehmen können sich dem Data Privacy Framework anschließen, indem sie sich verpflichten, bestimmte Datenschutzgrundsätze zu wahren, wie beispielweise die Löschung personenbezogener Daten bei Wegfall des Zwecks der Erhebung. Auf der Website der US International Trade Administration, US Department of Commerce (www.dataprivacyframework.gov/s/data-protection-authorities), kann eingesehen werden, welche Unternehmen sich dem Data Privacy Framework unterworfen haben.

Die Webseite befindet sich zum Zeitpunkt der Veröffentlichung noch teilweise im Aufbau und noch sind keine zertifizierten US-Unternehmen veröffentlicht. Wie schnell der Zertifizierungsprozess vonstattengeht, wird sich in den nächsten Wochen zeigen und ob bereits dann erste US-Unternehmen in der Zertifizierten-Liste veröffentlicht sind.

Bedeutung für europäische Unternehmen

Für europäische Unternehmen bedeutet der US-Angemessenheitsbeschluss, dass keine zusätzlichen Standardvertragsklauseln mehr nötig wären, sofern sie unter dem US-Angemessenheitsbeschluss zertifizierte US-Unternehmen als Dienstleister verwenden. In praktischer Hinsicht bedeutet das eine Erweiterung der Auswahl an (zertifizierten) Dienstleistern und die Vereinfachung von Vertragsverhandlungen.

Kritik und Ausblicke

Die Nichtregierungsorganisation None of Your Business („NOYB“) kündigte bereits an schon Verfahrensoptionen vorbereitet zu haben. Der Vorsitzende Max Schrems, österreichischer Jurist und Datenschutzaktivist sowie Anlassgeber der Schrems I und Schrems II Urteile, kritisiert den Angemessenheitsbeschluss und bezeichnet ihn als Kopie des „Privacy Shields“ und „Safe Harbour“ – die vorangegangenen und durch den EuGH aufgehobenen US-Angemessenheitsentscheidungen aus 2015 und 2020.

Er wirft der Europäischen Kommission vor, keine substanziellen Änderungen zu beabsichtigen, sondern basierend auf kurzfristigem politischem Denken zu handeln und damit zum dritten Mal die Urteile des Europäischen Gerichtshof (EuGH) zu ignorieren. Auch hat der EuGH das Massenüberwachungssystem der USA (FISA 702) als nicht verhältnismäßig und als Verstoß gegen die EU-Grundrechtscharta erklärt. Wenngleich die neue Executive Order 14086, die Grundvoraussetzung für den Angemessenheitsbeschluss war, nunmehr eine Verhältnismäßigkeit fordert, so ist zu befürchten, dass aufgrund einer fehlenden gemeinsamen Definition abweichende Verständnisse des Begriffes Verhältnismäßigkeit von EU und USA vorliegen werden, die zu abweichenden Bewertungen einzelner Maßnahmen, auch im Lichte der EuGH-Rechtsprechung, führen werden.

Bei einer erfolgreichen Anfechtung könnte der EuGH das Abkommen während des gesamten Verfahrens aussetzen. Mit einer endgültigen Entscheidung kann dann erst 2024 oder 2025 gerechnet werden.

Empfehlungen für europäische Unternehmen

Bis auf weiteres sollten Standardvertragsklauseln mit US-Unternehmen beibehalten werden, soweit diese nicht zertifiziert sind. Jedoch können Datenschutzerklärungen dahingehend angepasst werden, dass der Abschnitt über die Vereinigten Staaten als unsicheres Drittland entfernt werden kann. Ein Hinweis auf die Standardvertragsklausel sollte jedoch bis zur Zertifizierung des Dienstleisters erhalten bleiben. Sollte der Angemessenheitsbeschluss nach Ankündigung der Organisation „NOYB“ erneut vor dem EuGH landen und dann für unzureichend erklärt werden, hätte dies wieder zur Folge, dass personenbezogen Daten in unzulässigerweise an US-Dienstleister übermittelt wurden. Deshalb ist es ratsam, bis zur endgültigen Klärung beim EuGH weiterhin Standardvertragsklauseln für die Datenübermittlung zu verwenden.

Frühere Artikel zu diesem Thema finden Sie hier:

Der EDSA und das Trans-Atlantic Data Privacy Framework (Teil 1)

Der EDSA und das Trans-Atlantic Data Privacy Framework (Teil 2)