Nachdem „Safe Harbour“ und „Privacy Shield“ vor dem EuGH jeweils scheiterten, soll das „EU-U.S. Data Privacy Framework“ es nun richten. Das neue Datenschutzabkommen mit den USA ist am 11. Juli mit sofortiger Wirkung in Kraft getreten. Stolz hatte Ursula von der Leyen diesen Meilenstein in Sachen Datenschutz verkündet. Doch Datenschützer Max Schrems hat schon die nächste Klage angekündigt.
Nach drei Jahren des Wartens ist am 11. Juli 2023 mit dem EU-U.S Data Privacy Framework ein neues Datenschutzabkommen zwischen der Europäischen Union (EU) und den USA in Kraft getreten. Das neue Abkommen soll sicherstellen, dass die Daten von Europäern in den USA ein vergleichbares Schutzniveau genießen wie in der EU. Die beiden Vorgängerabkommen Safe Harbor und Privacy Shield wurden jeweils vom EuGH für nichtig erklärt. Bereits im Oktober 2022 hatte Präsident Biden ein einschlägiges Dekret unterzeichnet.
Bedeutung des Abkommens
Das Abkommen bildet die Grundlage für einen Angemessenheitsbeschluss der Europäischen Kommission gem. Art. 45 Abs. 3 Datenschutzgrundverordnung (DSGVO) von Juni 2023. Mit solchen Angemessenheitsbeschlüssen kann die Kommission feststellen, dass ein Land ein ,,angemessenes Schutzniveau‘‘ für den Datentransfer bietet. Das bedeutet, dass der Schutz personenbezogener Daten dem Schutz in der EU entspricht. Solche Beschlüsse haben zur Folge, dass personenbezogene Daten aus der EU in ein Drittland übermittelt werden können, ohne dass weitere Schutzmaßnahmen erforderlich sind.
Ein solcher Beschluss ist für die Wirtschaft von großer Bedeutung. Denn wenn er für ein bestimmtes Land vorliegt, dürfen Unternehmen personenbezogene Daten dorthin übermitteln und z.B. amerikanische Clouds nutzen. Nach Art. 44ff DSGVO ist die Übermittlung personenbezogener Daten in Drittländer nämlich ohne einen solchen Beschluss nur zulässig, wenn bestimmte Voraussetzungen im Einzelfall erfüllt sind. Der Angemessenheitsbeschluss ist daher der einfachste und auch rechtlich sicherste Weg für den Datentransfer.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Zu beachten ist allerdings, dass die Angemessenheitsentscheidung immer nur dann greift, wenn das US-Unternehmen, an das personenbezogene Daten übermittelt werden sollen, über eine gültige Zertifizierung nach dem EU-U.S. Data Privacy Framework verfügt. Dafür müssen sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten, etwa die Pflichten, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind. Oder den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden. Wie viele U.S. Unternehmen eine solche Zertifizierung nach dem neuen Datenschutzabkommen wirklich beantragen, bleibt abzuwarten.
Warum die ersten beiden Abkommen gescheitert sind
Der österreichische Jurist Max Schrems hat bereits angekündigt, auch gegen das neue Abkommen zu klagen. Der Inhaber der Datenschutzorganisation Noyb hatte auch schon gegen Safe Harbor und Privacy Shield vor dem EuGH gekippt (Urt. v. 06.10.2015, Az. C-362/14 – „Schrems I“; Urt. v. 16.07.2020, Az. C 311/18 – „Schrems II“). Das Problem: Die USA hätten kein dem europäischen vergleichbares Datenschutzniveau. US-Unternehmen seien nach US-amerikanischen Gesetzen verpflichtet waren, Geheimdiensten Zugriff auf gespeicherte Daten zu gewähren, was auch Daten von Europäern umfassen würde.
Die Folge des zweiten EuGH-Urteils war, dass es seit 2020 wieder keine gesicherte rechtliche Grundlage für Datenübermittlungen in die USA bestand. In der Praxis waren Unternehmen daher auf den Abschluss sogenannter „Standardvertragsklauseln“ angewiesen. Dabei handelt es sich um von der Europäischen Kommission verabschiedete Vertragsmuster, die Datenexporteure beim Transfer von Daten in Drittstaaten abschließen. Sie legen vertraglich fest, dass auch der Datenimporteur das europäische Datenschutzniveau halten muss. Da die Importeure in den USA dies aber – eben wegen der Überwachungsbefugnisse der US-Behörden – nicht uneingeschränkt zusichern können, herrschte für sie in den letzten Jahren große Rechtsunsicherheit.
Eckpunkte des neuen Abkommens
Diese datenschutzrechtlichen Bedenken will das neue Abkommen nun entkräften – mit folgenden Schutzmechanismen für die personenbezogenen Daten europäischer Bürger:
Konkret soll der Zugriff auf personenbezogene Daten durch US-Nachrichtendienste nur erfolgen, wenn dies zur Gewährleistung der nationalen Sicherheit notwendig und verhältnismäßig ist.
Darüber hinaus steht EU-Bürgern ein Rechtsbehelfsverfahren zur Verfügung, mit dem sie sich gegen die Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste wehren können. Dazu kostenlose unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle. Für die gerichtliche Überprüfung wird ein neuer Data Protection Review Court (DPRC) eingerichtet. Das Gericht prüft Beschwerden unabhängig und kann verbindliche Abhilfemaßnahmen anordnen. So kann das Gericht beispielsweise US-Nachrichtendienste dazu verpflichten, bestimmte Daten zu löschen, wenn es Verstöße gegen die Garantien des Data Framework feststellt.
Schließlich soll auch regelmäßig überprüft werden, ob die Garantien des Datenschutzabkommens tatsächlich eingehalten und umgesetzt werden. Die erste Überprüfung soll bereits binnen einen Jahres nach Inkrafttreten des Abkommens stattfinden.
Die von den Vereinigten Staaten eingeführten Garantien gelten darüber hinaus auch für die Übermittlung von Daten unter Verwendung anderer Instrumente wie Standardvertragsklauseln und verbindliche unternehmensinterne Vorschriften.
Kontroverse Diskussion
Laut Ursula von der Leyen haben sich die USA damit in beispielloser Weise verpflichtet, einen neuen Rahmen für den Datenschutz zu schaffen. Das Datenschutzabkommen sei ein wichtiger Schritt, um den Bürgerinnen und Bürgern Vertrauen in die Sicherheit ihrer Daten zu geben, die Wirtschaftsbeziehungen zwischen der EU und den USA zu vertiefen und gleichzeitig die gemeinsamen Werte zu stärken.
Von anderer Seite wird allerdings bereits Kritik am neuen Datenschutzabkommen geäußert: Max Schrems hat bereits angekündigt, auch gegen das neue Abkommen zu klagen. Dieser lässt auf seinem Twitter-Account bereits verlauten, dass das EU-U.S. Data Privacy Framework nur Safe Harbor 3.0 sei. Sowohl er als auch die Datenschutzbehörde Baden-Württemberg kritisierten, dass die USA dem Wort “verhältnismäßig“ eine andere Bedeutung beimessen würden als das europäische Recht. In wesentlichen Teilen sei es eine Kopie der alten Vorschriften. Schon bei den ersten veröffentlichten Plänen zu dem neuen Abkommen hatte der Aktivist insbesondere die fehlende Unabhängigkeit des im Beschwerdeverfahren vorgesehenen Gerichts moniert.
Das Fazit bleibt durchwachsen
Zusammenfassend lässt sich feststellen, dass mit dem EU-U.S. Data Privacy Framework für alle EU-Unternehmen, die US-Dienste in Anspruch nehmen und dabei personenbezogene Daten in die USA übermitteln, eine deutliche Erleichterung eingetreten ist. Dies ist aus ökonomischer Sicht zu begrüßen.
Fraglich ist auch, ob das Datenschutzabkommen hält, was es verspricht. So lassen Formulierungen wie ,,der Zugang zu Daten ist auf das für den Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß zu beschränken‘‘ viel Interpretationsspielraum. Ob der Schutz tatsächlich gewährleistet ist, wird daher wohl in vielen Fällen von dem neu eingerichteten Gericht, dem DPRC, geklärt werden müssen.
Es bleibt aber abzuwarten, ob das EU-U.S. Data Privacy Framework wirklich der große Durchbruch im Dauerstreit um den Datenschutz zwischen der EU und den USA ist – oder ob es vom EuGH in einem „Schrems III“-Urteil wieder kassiert werden wird.
lyt/ahe