Report: Endlich Rechtssicherheit für Datentransfers in die USA?
Der Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework ist in Kraft getreten. Doch was bedeutet das jetzt und in Zukunft?
Warten auf Privacy Shield Nachfolger hat ein Ende
Das neue Data Privacy Framework (DPF) hat sofort nach der Veröffentlichung durch die EU-Kommission viele Schlagzeilen gefüllt. Kein Wunder, hat man doch lange auf einen neuen „Angemessenheitsbeschluss für einen sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA“ gewartet. Ziemlich genau drei Jahre sind vergangen, seit der Vorgänger Privacy Shield durch den Europäischen Gerichtshof (EuGH) als ungültig erklärt wurde.
Mit einem Angemessenheitsbeschluss der Europäischen Kommission wären transatlantische Datenübermittlungen sehr viel einfacher möglich als bislang, so zum Beispiel der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit der Freien und Hansestadt Hamburg im November 2022. Nun liegt dieser Angemessenheitsbeschluss vor.
Aber was bedeutet er eigentlich? Das kann zum Beispiel für die Nutzung von US-Clouds eine wichtige Frage sein.
Was das DPF jetzt ermöglicht
In dem Angemessenheitsbeschluss wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Die Folge ist: Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten aus der EU an US-Unternehmen übermittelt werden, die am Rahmen teilnehmen, ohne dass zusätzliche Datenschutzgarantien eingeführt werden müssen.
Auf den ersten Blick scheinen nun alle Transfers personenbezogener Daten aus der EU in die USA datenschutzkonform möglich zu sein. Das stimmt aber so nicht. Zum einen können sich US-Unternehmen nun dem DPF anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten, darunter beispielsweise die Pflichten, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.
Automatisch unterliegt ein Datentransfer in die USA also nicht dem DPF, das US-Unternehmen muss hierfür aktiv werden, das EU-Unternehmen muss prüfen, ob das US-Unternehmen sich dem DPF auch angeschlossen hat.
Die EU-Kommission weist aber auch darauf hin, dass das mit den USA erzielte Abkommen Vorteile für andere Rechtsinstrumente bringen soll, die als Grundlage für eine Übermittlung personenbezogener Daten in das Drittland USA genutzt werden können: Alle von der US-Regierung im Bereich der nationalen Sicherheit eingeführten Garantien (einschließlich des Rechtsbehelfsverfahrens) gelten unabhängig von den verwendeten Übermittlungsmechanismen für alle Datenübermittlungen im Rahmen der DSGVO an Unternehmen in den USA, so die EU-Kommission. Diese Garantien erleichtern daher auch den Einsatz anderer Instrumente wie Standardvertragsklauseln und verbindlicher unternehmensinterner Vorschriften.
Wie es um die Rechtssicherheit bei dem DPF steht
Der Angemessenheitsbeschluss trat mit seiner Annahme am 10. Juli 2023 in Kraft, er ist nicht befristet, aber die EU-Kommission will die relevanten Entwicklungen in den USA fortlaufend beobachten und den Angemessenheitsbeschluss regelmäßig überprüfen. Sollten Entwicklungen eintreten, die das Schutzniveau im Drittland USA beeinträchtigen, kann der Angemessenheitsbeschluss angepasst oder auch ganz zurückgenommen werden. Die erste Überprüfung erfolgt aber erst binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses, also in 2024.
Der Bundesdatenschutzbeauftragte erklärte dazu: „Mit dem neuen Angemessenheitsbeschluss können ab sofort personenbezogene Daten aus der EU an die USA wieder fließen, ohne dass weitere Übermittlungsinstrumente oder zusätzliche Maßnahmen erforderlich sind. Dies gilt jedoch nur, sofern die Organisation, an die sie übermittelt werden, auch unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Dies müssen Unternehmen in der EU vorab prüfen. Für Betroffene und Datenexporteure besteht damit jetzt erst einmal Rechtssicherheit.“
Kritischer Blick in die Zukunft
Wie sieht dies aber in nicht zu ferner Zukunft aus? Es ist zu erwarten, dass von Datenübermittlungen in die USA Betroffene erneut gerichtlichen Rechtsschutz suchen werden und auch der neue Datenschutzrahmen EU-USA perspektivisch vom EuGH überprüft werden wird, so die Landesbeauftragte für den Datenschutz Niedersachsen. Insofern könne aus aufsichtsbehördlicher Sicht noch keine abschließende langfristige „Entwarnung“ für Datenübermittlungen in die USA gegeben werden. Nicht zuletzt vor diesem Hintergrund empfehle es sich, bereits eingeleitete oder umgesetzte Strategien zur „Digitalen Souveränität“ weiterzuverfolgen.
eco Geschäftsführer Alexander Rabe erklärte dazu: „Es bleibt noch abzuwarten, ob die vorgenommenen Regelungen auch vor Gericht Bestand haben werden. Ich hoffe hier darauf, dass nicht durch erneute jahrelange Gerichtsverfahren ein Schwebezustand für die Internetwirtschaft entsteht. Die Zeiten der totalen Rechtsunsicherheit, die im schlechtesten Fall zu Bußgeldern oder Übertragungsverboten geführt hat, sind nun hoffentlich endlich vorbei.“
Die Übermittlung personenbezogener Daten in die USA wird weiterhin ein Thema sein, auf das Unternehmen einen genauen Blick werfen müssen. Die Datenschutzorganisation noyb, bei der Max Schrems aktiv ist, will auch diese Entscheidung dem EuGH vorlegen.