Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss für den neuen Datenschutzrahmen EU-US-Privacy Framework veröffentlicht. Damit soll eine „sichere Übertragung“ personenbezogener Daten aus der EU in die USA erleichtert werden.
Seit den Schrems-Urteilen gegen das „Safe-Harbor-Abkommen“ im Jahre 2015 und gegen das „Privacy-Shield-Abkommen“ im Jahre 2020 mussten die EU- und US-Unternehmen, für jeden einzelnen Fall, zwingend einen Vertrag über die von der EU bereitgestellten Standardvertragsklauseln (SCC) abschließen und im Rahmen eines so genannten Transfer Impact Assessment (TIA) einen Prozess zur Risikobewertung des Schutzniveaus für die Datenübertragung durchführen und dokumentieren.
Das Problem waren die unterschiedlichen Schutzniveaus für personenbezogene Daten in der EU und den USA, insbesondere nach dem sogenannten USA-Freedom Act. Dadurch wurde die massenhafte Überwachung und Speicherung von Nutzerdaten möglich, ohne dass die Betroffenen Rechtsmittel dagegen einlegen konnten und können. Dies verstößt gegen europäisches Datenschutzrecht.
Mit dem neuen EU-US-Privacy-Framework soll nun u.a. ein angemessener Schutz für in die USA übermittelte personenbezogene Daten erreicht, sichere und geschützte Datenflüsse gewährleistet und eine dauerhafte Regelung für die Unternehmen geschaffen werden.
Damit EU-Unternehmen und Websitebetreiber nach dem neuen Abkommen personenbezogene Daten in die USA transferieren dürfen, müssen sowohl die US- als auch die EU-Unternehmen einige Voraussetzungen erfüllen.
Voraussetzungen für US-Unternehmen:
- Selbstzertifizierung beim US-Department of Commerce (DoC)
(Für den Prozess der Zertifizierung hat die US-Regierung eine offizielle Anleitung veröffentlicht) - Teilnehmende US-Unternehmen müssen sich jährlich re-zertifizieren.
- Die betroffenen Personen sind über die Verarbeitung ihrer personenbezogenen Daten zu informieren
(z.B.: Zwecke der Verarbeitung; Arten der erhobenen Daten; Rechte der Betroffenen; Rechtsbehelfe; Arten/Identitäten Dritter, an die die personenbezogenen Daten weitergegeben werden; Zwecke der Weitergabe der Daten an Dritte; etc.)
- Selbstzertifizierung beim US-Department of Commerce (DoC)
Voraussetzungen für EU-Unternehmen:
- Prüfen, ob eine Zertifizierung nach dem EU-US-Privacy Framework besteht
(Die Prüfung kann auf der offiziellen Website der US-Regierung vorgenommen werden) - Aktualisierung der Datenschutzerklärung, Consent-Tools, Cookie-Banner und der Datenschutzinformationen (Art. 13 + 14 DSGVO)
- Einholung einer rechtsgültigen Einwilligung
- Besteht bereits eine gültige Vereinbarung über Standardvertragsklauseln (SCC) und Transfer Impact Assessment (TIA), kann diese weiterhin genutzt werden.
- Besteht keine Vereinbarung nach SCC/TIA und keine Zertifizierung nach dem EU-US-Privacy Framework, sollte das US-Unternehmen auf die Zertifizierung hingewiesen werden. Ein Datentransfer personenbezogener Daten aus der EU in die USA ist bußgeldbewehrt nicht zulässig.
- Prüfen, ob eine Zertifizierung nach dem EU-US-Privacy Framework besteht
Fazit / Kommentar:
Ist dies nun die dauerhafte und verlässliche Rechtsgrundlage für den sicheren Datenverkehr personenbezogener Daten aus der EU in die USA? Eher nicht.
Max Schrems, der Datenschutzaktivist, der die beiden vorherigen Abkommen (Safe Harbor und Privacy Shield) vor den Europäischen Gerichtshof brachte und Recht bekam sagte dazu in einem Interview mit den BvD-News Fachmagazin für Datenschutzbeauftragte (Ausgabe 2/2023, Seite 18): „ … Noch fehlt die offizielle Schlussversion, theoretisch könnte sich also noch etwas ändern. Zudem muss ein Unternehmen meine Daten auf der neuen Grundlage zwischen Europa und den USA austauschen. Nur dann haben wir einen Betroffenen und können dagegen klagen. Aber nach dem aktuellen Stand gehen wir davon aus, dass wir Klage einreichen werden. Das Abkommen ist politisch gewollt, was an sich okay ist, aber soweit wir sehen können gibt es einfach keine rechtliche Grundlage dafür, weil es im US-amerikanischen Recht keine wirklichen Änderungen gegeben hat. Die neue Executive Order wird zwar al Lösung gefeiert. Aber im Vergleich zur PPD-28 davor steht da größtenteils das Gleiche drin. Ob das juristisch Substanz hat wagen wir zu bezweifeln. So zu tun als ob jetzt alles neu wäre, das halte ich schon für ein bisschen verlogen. Langfristig bräuchten wir ein Agreement, in dem demokratische Staaten sagen, dass beide Seiten die gleichen Rechte haben. Das Lustige ist ja: Auf beiden Seiten des Atlantiks sind wir uns einig, dass die NSA-Überwachung verfassungswidrig ist – solche Überwachung wäre ja auch ein Verstoß gegen den vierten Verfassungszusatz in den USA. Der Unterschied liegt darin, dass die Amerikaner der Meinung sind, dass diese Grundrechte nur für US-Bürger gelten und nicht für Ausländer. Ohne ein Anerkenntnis, dass auch Ausländer Rechte haben, können wir nicht weit kommen. Die einzige Lösung wäre hier gegenseitig ein Mindestmaß an Schutz zu garantieren.“