Die Übermittlung personenbezogener Daten in die USA ist eine herausfordernde Angelegenheit. In weniger als einem Jahrzehnt wurden bestehende Rechtsgrundlagen schon zweimal annulliert. Mit dem EU-US-Datenschutzrahmen gibt es nun einen neuen Angemessenheitsbeschluss, der Datentransfers in die USA vereinfacht.
Das Problem mit Datentransfers in Drittstaaten
Datentransfers in Drittstaaten sind nicht ohne weiteres bzw. nur mit erhöhtem Aufwand möglich. Ein Angemessenheitsbeschluss der EU vereinfacht die Rahmenbedingungen enorm. Er besagt, dass in einem Drittstaat ein Datenschutzniveau gilt, das mit dem Niveau innerhalb des Europäischen Wirtschaftsraums (EWR) vergleichbar ist.
Über das Privacy Shield Abkommen konnten europäische Unternehmen einst Daten mit Personenbezug in die USA übermitteln. Doch im Rahmen des Schrems II Urteils des EuGH wurde das Abkommen gekippt, sodass für Datentransfers zusätzliche Garantien (z.B. mittels Standardvertragsklauseln) geschaffen werden müssen.
Aber die Nutzung von Standardvertragsklauseln oder anderer geeigneter Garantien erfordert weiterhin ein Transfer Impact Assessment, in dessen Rahmen zu prüfen ist, ob nationales Recht der Übermittlung entgegensteht. Der neue transatlantische Datenschutzrahmen kann die Situation jedoch vereinfachen.
Was der EU-US-Datenschutzrahmen für Unternehmen bedeutet
Nachdem das Privacy Shield Abkommen gekippt wurde, begannen Vertreter von EU und USA mit der Arbeit an einer neuen Lösung. Im Oktober 2022 unterzeichnetet US Präsident Joe Biden ein Dekret: Die Executive Order „Enhancing Safeguards for United States Signals Intelligence Activities“ schafft die rechtliche Grundlage, um das „Trans-Atlantic Data Privacy Framework“ im US Recht umzusetzen. Am 10. Juli 2023 wurde der Angemessenheitsbeschluss von der EU Kommission angenommen.
Auf dieser Basis können europäische Unternehmen personenbezogene Daten übermitteln, sofern die teilnehmenden Unternehmen auf US-Seite die geltenden Voraussetzungen erfüllen. Zusätzliche Datenschutzgarantien, wie z.B. Standardvertragsklauseln, sind dann nicht mehr erforderlich. Doch aufgepasst, die Übermittlung personenbezgoener Daten in die USA sind nur auf Basis des transatlantischen Datenschutzrahmens möglich, sofern sich die US-Unternehmen haben zertifizieren lassen.
Datenschützer wollen gegen transatlantischen Datenschutzrahmen rechtlich vorgehen
Laut beiden Verhandlungsparteien sollten die Kritikpunkte, die mit dem Schrems II Urteil einhergingen, beseitigt sein. Konkret geht es um mehr Rechte für die Betroffenen, um ihre personenbezogenen Daten vor dem Zugriff durch US-Nachrichtendienste zu schützen. Darüber hinaus sollen Betroffene auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren zurückgreifen können, sollte eine Verwendung ihrer Daten durch US-Nachrichtendienste erfolgen.
Europäische Datenschützer, insbesondere aus dem Umfeld von Max Schrems, vertreten jedoch eine andere Ansicht. Deren Auffassung nach wurden die zentralen Kritikpunkte, die zum Ende von Privacy Shield geführt haben, nicht beseitigt. Personenbezogene Daten europäischer Bürger seien daher in den USA – insbesondere vor dem Zugriff durch Ermittlungsbehörden – weiterhin unzureichend geschützt.
Die nächste Klage der Datenschützer, die erneut vor den Europäischen Gerichtshof führen soll, befindet sich schon in Vorbereitung. Allerdings lässt es sich zum gegenwärtigen Zeitpunkt nur schwer abschätzen, zu welchem Ergebnis die Klage führen wird.
Fazit
Der transatlantische Datenschutzrahmen verbessert die Bedingungen, da Datentransfers an zertifizierte US-Unternehmen fortan ohne weitere Datenschutzgarantien stattfinden können. In Anbetracht der nun gebotenen Einfachheit dürften viele Unternehmen diese Möglichkeit auch nutzen wollen. Allein wegen der Tatsache, dass zahlreiche der führenden Anbieter von Cloud-Lösungen und Web-Services in den USA sitzen, ist von einem großen Interesse auszugehen.
Offen bleibt jedoch, wann die ersten Unternehmen zertifiziert sind. Ebenso, wie lange der EU-US-Datenschutzrahmen bestehen wird. Die Antwort auf letztere Frage werden wir jedoch erst kennen, nachdem die Klage der Datenschützer am Gerichtshof der Europäischen Union eingegangen ist und verhandelt wurde.