Das EU-US Data Privacy Framework

Was sind die Hintergründe? Und was bedeutet das DPF für die Praxis von gemeinnützigen Organisationen in Deutschland?

Die EU-Kommission hat mit ihrem Angemessenheitsbeschluss gemäß Artikel 45 der Datenschutzgrundverordnung (DS-GVO) zum neuen EU-US Data Privacy Framework am 10. Juli 2023 die Rechtsgrundlage für einen Datentransfer in die USA geschaffen. Das Abkommen bestätigt zertifizierten US-Unternehmen ein angemessenes Datenschutzniveau. Der Beschluss ist seit diesem Tag gültig und bindet die Datenschutzbehörden.

Der Angemessenheitsbeschluss der EU-Kommission beruht auf folgendem Sachverhalt: Nach den Vorschriften der DS-GVO gelten die USA als Drittland, an das personenbezogene Daten nur unter den Voraussetzungen von Kapitel V der DS-GVO übermittelt werden dürfen. Danach muss ein Datentransfer durch einen Angemessenheitsbeschluss der EU-Kommission oder, wenn es keinen Angemessenheitsbeschluss gibt, durch andere geeignete Garantien legitimiert sein. Die EU-Kommission hatte zuletzt einen Angemessenheitsbeschluss zum Privacy-Shield-Datenschutzabkommen mit den USA erlassen, wodurch Datenübermittlung an zertifizierte Unternehmen in den USA gerechtfertigt waren. Vor rund drei Jahren, im Juli 2020, erklärte der Europäische Gerichtshof (EuGH) mit seinem Schrems-II-Urteil das Privacy-Shield-Datenschutzabkommen für unwirksam.

Er begründete die Unwirksamkeit in seinem Urteil damit, dass das Privacy-Shield-Abkommen keinen der DS-GVO gleichwertigen Rechtsschutz gewährleiste, insbesondere weil die Zugriffsmöglichkeiten von US-Behörden auf europäische Daten zu weitreichend seien und Betroffene keine Möglichkeit hätten, ihre Rechte gegenüber US-Behörden gerichtlich durchzusetzen.

Seit der Unwirksamkeit des Privacy Shield Abkommens bestand Rechtsunsicherheit für den Transfer personenbezogener Daten in die USA. Die Rechtsunsicherheit erstreckte sich generell auf den Einsatz US-amerikanischer Software, weil nicht immer klar war, ob personenbezogene Daten nicht auch in die USA transferiert werden, selbst wenn die genutzten Rechenzentren in der EU standen und weil US-Sicherheitsbehörden grundsätzlich Zugriffsmöglichkeiten auf Datenbestände von US-amerikanischen Unternehmen haben – auch außerhalb der USA.

Um dennoch ein der DS-GVO angemessenes Schutzniveau für personenbezogene Daten zu erreichen, bemühten sich viele Nutzer von US-amerikanischer Software – darunter auch NPOs –, mit den Unternehmen zusätzliche Standardvertragsklauseln zu schließen und weitere technisch organisatorische Maßnahmen zu gewährleisten, wodurch ein vergleichbares, angemessenes Datenschutzniveau gewährleistet werden sollte. Oft reichten den Aufsichtsbehörden die erweiterten Schutzregelungen aber nicht aus. Deshalb blieben beim Einsatz US-amerikanischer Software immer Rechtsrisiken bestehen, die im Fall einer Ahndung mit Bußgeldern erhebliche wirtschaftliche Schäden verursachen konnten.

Diese Rechtsunsicherheit für den Transfer personenbezogener Daten in die USA hat die EU-Kommission mit dem Angemessenheitsbeschluss zum EU-US Data Privacy Framework jetzt beseitig. Mit dem Beschluss bestätigt sie, dass Unternehmen, die in den USA nach dem EU-US Data Privacy Framework zertifiziert sind, ein der DS-GVO angemessenes Schutzniveau für personenbezogene Daten einhalten. Die Kommission hält die Änderungen im US-Recht für ausreichend, um die Anforderungen des EuGH aus dem Schrems-II-Urteil zu erfüllen; insbesondere durch

• neue Beschränkungen für Datenzugriffe von US-Behörden,
• erweiterte Rechtsschutzmöglichkeiten betroffener EU-Bürger gegen Datenzugriffe von US-Behörden (zum Beispiel durch die Einrichtung des Data Protection Review Courts),
• ausreichende Aktualisierungen der Zertifizierungskriterien für US-Unternehmen und
• spezielle Überwachungs- und Überprüfungsmechanismen der US Federal Trade Commission und des US Department of Transportation für die Einhaltung der Zertifizierungskriterien.

US-Unternehmen können sich unter dem neuen Framework, ähnlich wie unter dem alten Privacy Shield Abkommen, zertifizieren und in eine Liste für Unternehmen aufnehmen lassen, die freiwillig die Grundsätze der DS-GVO erfüllen. Die Liste der zertifizierten US-Unternehmen kann unter www.dataprivacyframework.gov eingesehen werden. Die Einhaltung der Zertifizierungskriterien durch die Unternehmen unterliegt in den USA der Aufsicht der US Federal Trade Commission und dem US Department of Transportation.

Leider ist der neue Angemessenheitsbeschluss nicht unumstritten. Schon im Vorfeld des Beschlusses hatte der Datenschutzaktivist Maximilian Schrems ihn als unzureichend bezeichnet und angekündigt, dagegen erneut vor dem EuGH vorzugehen. In seinen Augen seien die rechtlichen Änderungen in den USA immer noch unzureichend, um ein vergleichbares, angemessenes Schutzniveau zu gewährleisten. Diese Bedenken werden von anderen Datenschützern geteilt. Sie kritisieren, dass unter dem neuen Abkommen keine Änderung der Sicherheitsgesetze in den USA vorgenommen wurde, die notwendig gewesen wäre, um die Bedenken des EuGH aus dem Schrems II-Urteil auszuräumen.

Es ist daher mit einem weiteren Schrems-Urteil des EuGH zu rechnen, wobei der Ausgang des Verfahrens völlig offen sein dürfte. Die Änderungen im US-Recht sind weitgehender als zuvor; es gelten Beschränkungen für den Datenzugriff durch US-Behörden und erweiterte Rechtsschutzmöglichkeiten für EU-Bürger.

Daneben steht aber auch die Zukunft des gesamten EU-US-Data Privacy Frameworks in Frage. Das Framework basiert im Wesentlichen auf der Executive Order von Präsident Biden, deren Gültigkeit vom Ausgang der US-Präsidentschaftswahlen im Jahr 2024 abhängen dürfte. Außerdem wird die EU-Kommission ihren Angemessenheitsbeschluss jährlich überprüfen.

Seit dem 10. Juli 2023 rechtfertigt der Angemessenheitsbeschluss der EU-Kommission zum EU-US-Data Privacy Framework einen Transfer personenbezogener Daten in die USA beim Einsatz von Software entsprechend zertifizierter Unternehmen. Daher besteht Rechtssicherheit für den Datentransfer, solange der Angemessenheitsbeschluss gilt.

Weil damit zu rechnen ist, dass die Wirksamkeit des Angemessenheitsbeschlusses gerichtlich überprüft und die Zukunft des EU-US Data Privacy Frameworks vom Ausgang der US-Präsidentschaftswahlen im kommenden Jahr abhängen wird, ist noch keine endgültige Rechtssicherheit gewonnen.

Es ist deshalb jedem, der zertifizierte US-amerikanische Software zur Verarbeitung personenbezogener Daten einsetzt, zu raten, die Entwicklungen zum Angemessenheitsbeschluss und zum EU-US Data Privacy Framework im Auge zu behalten. Sollte der Angemessenheitsbeschluss oder das EU-US Data Privacy Framework gekippt werden, müssten die Voraussetzungen für einen sicheren Datentransfer in die USA wieder für jeden Einzelfall geprüft und zusätzliche Maßnahmen veranlasst werden.

Daneben ist zu beachten, dass der Angemessenheitsbeschluss nur für den Datentransfer in die USA gilt und nicht für andere datenschutzrelevante Tätigkeiten (zum Beispiel Tracking) und dass jeder Transfer personenbezogener Daten auch immer einer Rechtgrundlage gemäß Art.6 Abs.1 DS-GVO bedarf.