Update "Privacy Shield": Was gibt es Neues?

Was hat sich eigentlich getan, seit das damalige Datenschutzabkommen Privacy Shield für die Datenübertragung aus der EU in die USA für ungültig erklärt wurde?

Das ist gute dreieinhalb Jahre her und es war zwischenzeitlich ruhiger um dieses Thema. Und das, obwohl seitdem viele rechtliche Unwägbarkeiten für den transatlantischen Datentransfer bestanden. Denn Unternehmen hatten nur auf zwei Wegen die Möglichkeit, Daten in die USA zu übermitteln: zum einen im Rahmen der so genannten Standardvertragsklauseln, zum anderen über Binding Corporate Rules (BCR).

BCR sind Datenschutzrichtlinien, die bei Datentransfer außerhalb der EU innerhalb einer Unternehmensgruppe angewendet werden können. Sie sind auf Konzerne mit Sitz in der EU beschränkt und müssen zuvor durch die zuständige Datenschutzbehörde legitimiert werden. Auch bei den Standardvertragsklauseln ist die Mitwirkung der am Datenaustausch beteiligten Parteien erforderlich. Der Datenexporteur muss in Eigeninitiative die Situation im Empfängerland prüfen und sichergehen, dass das Datenschutzniveau dort angemessen ist.

Die Rechtsunsicherheit blieb also, bis Mitte letzten Jahres ein neuer Angemessenheitsbeschluss veröffentlicht wurde: das Data Privacy Framework (DPF). Im Juli 2023 haben sich die Europäische Kommission und die US-Regierung auf diesen EU-USA-Datenschutzrahmen geeinigt. In dem Beschluss verpflichten sich die Vereinigten Staaten, ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten, welches dem in der EU vergleichbar ist.

Damit kann der Datenaustausch zwischen der EU und den USA grundsätzlich wieder rechtssicher erfolgen, ohne dass Unternehmen zusätzliche Schutzvorkehrungen treffen oder Datenschutzgarantien einrichten müssen. Voraussetzung ist, dass das US-Unternehmen, an das Daten übermittelt werden, an dem Datenschutzabkommen teilnimmt.

Damit das Unternehmen als sicherer Datenempfänger gilt, muss es, ähnlich wie beim Privacy Shield, ein Zertifizierungsverfahren beim US-Handelsministerium durchlaufen und das Zertifikat jährlich erneuern. Außerdem muss es betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten informieren. Das EU-Unternehmen hingegen hat zu prüfen, ob das empfangende US-Unternehmen am DPF teilnimmt.

Alles in allem gibt es unterschiedliche Betrachtungen des neuen Angemessenheitsbeschlusses. Was die einen als großen Durchbruch und Annäherung zwischen der EU und den USA feiern, sehen die anderen lediglich als eine Kopie des Privacy Shield, deren Regelungen nicht weit genug gehen.
Dennoch kann man sagen, dass sich die USA mit diesem Erlass auf die EU zubewegt haben. Vor allem für kleinere Unternehmen sind die nicht mehr nötigen Einzelfallprüfungen eine deutliche Erleichterung.

Zudem ist die Erweiterung der Betroffenenrechte positiv zu bewerten. Betroffene können von den US-Unternehmen jetzt nämlich Zugang zu ihren Daten bekommen und Korrekturen oder die Löschung durchsetzen. In den vorangegangenen Abkommen stand ja insbesondere die Massenüberwachung durch die USA in der Kritik sowie der Umstand, dass US-Unternehmen Daten an US-Sicherheitsbehörden übergeben mussten, ohne die Betroffenen darüber zu informieren.

Mit dem neuen DPF sind diese früher umfassenden Zugriffsrechte von US-Behörden auf die Daten von EU-Bürgern stärker begrenzt auf ein notwendiges und verhältnismäßiges Maß. Überdies haben sich die USA verpflichtet, Datensammlungen durch ihre Geheimdienste künftig besser und strenger zu kontrollieren

Ob all das tatsächlich so umgesetzt wird, muss die Praxis erweisen. Die EU-Kommission will die Funktionsweise des Abkommens regelmäßig überprüfen und die Situation in den USA kontinuierlich beobachten. Sollte sie das Datenschutzniveau in den USA gefährdet sehen, kann der Angemessenheitsbeschluss geändert oder auch ganz zurückgenommen werden.

Wie schon bei den Vorgängern muss man davon ausgehen, dass auch das DPF zukünftig gerichtlich geprüft werden wird. Somit steht auch eine erneute Ungültigkeitserklärung immer mit im Raum.
Wahrscheinlich ist auch diese jetzt erlangte Rechtssicherheit also nur eine vorläufige. Die Übermittlung personenbezogener Daten wird grundsätzliches Thema bleiben und weiterhin Aufmerksamkeit fordern.

Für den Moment aber gilt: Das Data Privacy Framework ist geltendes EU-Recht.