Die Übermittlung personenbezogener Daten in die USA waren spätestens seit der sogenannten „Schrems-II“-Entscheidung des Europäischen Gerichtshofs vom 16.07.2020 (Az.: 10-311/18) Gegenstand zahlreicher Diskussionen bis hin zu der Frage, unter welchen Voraussetzungen überhaupt noch eine rechtmäßige Übermittlung personenbezogener Daten in die USA rechtmäßig gestaltet werden kann. Ein neuer Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 könnte nunmehr Rechtssicherheit bewirken.
Besondere Herausforderungen bei der Übermittlung personenbezogener Daten an einen Empfänger in den USA
Jede Übermittlung personenbezogener Daten in ein Drittland – also einen Staat, der nicht EU-Mitglied ist – ist nur zulässig, wenn die besonderen Voraussetzungen der Artikel 44 ff. Datenschutzgrundverordnung (DS-GVO) vorliegen. Eine Möglichkeit, eine Datenübermittlung zu legitimieren ist ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DS-GVO. Dahinter steht die Idee, dass die EU-Kommission das Datenschutzniveau eines Staates prüft und für den Fall, dass die EU-Kommission durch einen Angemessenheitsbeschluss feststellt, dass in dem Drittland ein angemessenes Datenschutzniveau besteht, eine Übermittlung personenbezogener Daten vorgenommen werden darf (Art. 45 Abs. 1 S. 1 DS-GVO). Von dieser Möglichkeit hat die EU-Kommission in zahlreichen Fällen Gebrauch gemacht (Andorra, Argentinien, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Kanada in Bezug auf kommerzielle Organisationen, Neuseeland, Republik Korea (Südkorea), Schweiz, Uruguay, Vereinigtes Königreich).
In Bezug auf Datenübermittlungen in die USA gab es bereits in der Vergangenheit zwei Angemessenheitsbeschlüsse, die nicht für die gesamten USA ein angemessenes Datenschutzniveau feststellten, sondern nur für bestimmte Unternehmen, die an einem speziellen Zertifizierungsverfahren des US-Department of Commerce teilnahmen und dadurch eine Selbstverpflichtung auf Datenschutzregelungen herbeiführten, die ein angemessenes Datenschutzniveau gewährleisten sollten. Bekannt wurden diese ersten beiden Angemessenheitsbeschlüsse unter den Schlagworten „Safe Harbor“ und „Privacy Shield“. Bei alten Angemessenheitsbeschlüsse hielten jedoch nicht der Überprüfung durch den EuGH stand. Mit der oben genannten Entscheidung des Europäischen Gerichtshofs (EuGH) wurde zuletzt festgestellt, dass das „EU-US-Privacy-Shield-Abkommen“ nicht in der Lage war, ein angemessenes Datenschutzniveau bei dem zertifizierten Empfänger in den USA herbeizuführen. Dies wurde damit begründet, dass das Verfahren nicht geeignet war, dem Zugriff von US-Geheimdiensten und sonstigen US-Behörden auf personenbezogenen Daten so zu gestalten, dass die Interessen der betroffenen Personen angemessen berücksichtigt worden. Da sowohl diese Entscheidung, wie auch das Vorgänger-Abkommen („Safe Harbor“) auf Klagen des österreichischen Datenschutzaktivisten Maximilian Schrems zurückzuführen waren, wurden diese Entscheidungen mit den Schlagworten „Schrems-I“ und „Schrems-II“ bezeichnet.
Nun haben die Europäische Union und die USA einen dritten Anlauf unternommen. Ca. drei Jahre nach der „Schrems-II-Entscheidung“ gibt es einen neuen Angemessenheitsbeschluss. Dieser wurde am 10.07.2023 von der EU-Kommission auf Basis eines Abkommens zwischen der EU und den USA gefasst. Er soll geeignet sein, Datenschutzunternehmen an selbstzertifizierte Unternehmen in den USA zu legitimieren.
Wesentliche Inhalte des EU-US-Data Privacy Framework
Kern des Abkommens bzw. des Angemessenheitsbeschlusses sind Datenschutzbestimmungen, die für zertifizierte Unternehmen verbindlich werden. Für diese gilt nicht die DS-GVO entsprechend, sondern nur bestimmte Datenschutzprinzipien (insbesondere Informationspflichten, Wahlrechte der betroffenen Personen, Regelungen zu Datensicherheit, zur Zweckbindung, zu Rechten der Betroffenen sowie zu Abhilfe- und Durchsetzungsmechanismen und Haftungsfragen).
Außerdem werden Zugriffe der Geheimdienste auf das für den Schutz der nationalen Sicherheit erforderliche Maß begrenzt.
Des Weiteren wird der Rechtsschutz für betroffene Personen aus der EU verbessert. Zu diesem Zweck wird insbesondere ein Data Protection Review Court eingerichtet, an den sich Betroffene wenden können.
Außerdem enthält das Data Privacy Framework eine Selbstverpflichtung, nach der selbst zertifizierten Unternehmen, unter bestimmten Voraussetzungen den Rat europäischer Aufsichtsbehörden zu befolgen haben.
Kritik am Data Privacy Framework
Maximilian Schrems hat bereits angekündigt, erneut rechtliche Schritte gegen den Angemessenheitsbeschluss der EU-Kommission zu unternehmen. Er will vertreten, dass auch der neue Angemessenheitsbeschluss und das Data Privacy Framework nicht in der Lage sind, die Interessen der betroffenen Personen in der EU ausreichend zu schützen. Zu den – nicht nur von Herrn Schrems vertretenen – wesentlichen Kritikpunkten zählen, dass die Vorschriften über die Limitierung der Zugriffsrechte der Geheimdienste zu unbestimmt sind. Der Rechtsschutz über den Data Protection Review Court sei zudem womöglich nicht ausreichend, was sich schon daran erkennen lasse, dass es sich bei diesem Court nicht mit der ausreichenden Sicherheit um ein unabhängiges Gericht handele, sondern um ein Organ der Exekutive. Es sei zudem nicht vorgesehen, dass betroffene Personen in dem Verfahren eine verlässliche Auskunft über die Frage erhalten, ob ihre Daten Gegenstand von Geheimnisaktivitäten gewesen seien. Die Nachvollziehbarkeit von Entscheidungen sei demnach in Frage gestellt.
Umsetzung des Data Privacy Framework
Das US-Department of Commerce wird in Kürze Guidelines für eine “smooth transition” von unter dem „Privacy Shield“ zertifizierten Unternehmen zum Data Privacy Framework vorlegen. Dabei soll es einen Mechanismus geben, nach dem – vorbehaltlich eines Widerspruchs der Unternehmen – die neuen Regelungen für die bereits in der Vergangenheit nach dem Privacy Shield zertifizierten Unternehmen verbindlich werden sollen. Unternehmen, die noch nicht unter dem Privacy Shield zertifiziert waren, können sich erstmalig neu zertifizieren. Wichtig ist, dass demnach das Data Privacy Framework nicht automatisch zu einem angemessenen Datenschutzniveau bei Empfängern in den USA führt, sondern die ordnungsgemäße Selbstzertifizierung hinzutreten muss.
Praxistipp
Die Zertifizierung unter dem Data Privacy Framework gibt zwar für die Dauer der formalen Geltung des neuen Angemessenheitsbeschlusses eine gewisse Rechtssicherheit für Datenübermittlungen an das selbstzertifizierte Unternehmen, es verbleibt jedoch insofern eine Rechtsunsicherheit, als die Möglichkeit besteht, dass auch das Data Privacy Framework nicht in der Lage ist, ein angemessenes Datenschutzniveau herbeizuführen und dies der EuGH früher oder später feststellen wird.
Es sollte deshalb nach wie vor geprüft werden, ob ergänzend mit dem US-Empfänger EU-Standard-Vertragsklauseln vereinbart werden, die ggf. nach Art. 46 Abs. 2 Buchstabe c DS-GVO bei den Empfängern ein angemessenes Datenschutzniveau herbeiführen können.
Insofern bleibt jedoch die Problematik, dass – unterstellt, dass auch das Data Privacy Framework nicht ausreicht – dann auch die EU-Standardvertragsklauseln nicht in der Lage sind, ein angemessenes Datenschutzniveau herbeizuführen und somit nach wie vor geboten sein kann, entsprechend der „Schrems-II-Entscheidung“ des EuGH zusätzliche Maßnahmen zu ergreifen, um eine Datenübermittlung in die USA und die dortige Verarbeitung zu legitimieren.
Insofern bietet es sich an, vorsorglich, Datenübermittlungen in die USA weiterhin so zu prüfen, wie Datenübermittlungen in Drittländer, für die die EU-Kommission kein angemessenes Datenschutzniveau festgestellt hat. In diesen Fällen sollte eine umfassende Datenschutzfolgenabschätzung durchgeführt und auf dieser Basis über zusätzliche Maßnahmen zum Datenschutz entschieden werden.
Weiterführender Link:
- Englische Fassung des EU-US-Data Privacy Framework: https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en
