Es gibt einen Angemessenheitsbeschluss der EU Kommission für die USA, der auf dem EU-U.S. Data Privacy Framework basiert.
Der Beschluss legt fest, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten. Der Zugang von US-Geheimdiensten zu EU-Daten sei auf ein notwendiges und verhältnismäßiges Maß beschränkt.
Die gute Nachricht zuerst:
Die Übermittlung personenbezogener Daten in die USA ist jetzt wieder rechtssicher umsetzbar.
Dazu müssen sich die datenverarbeitenden US-Unternehmen -wie in den ersten beiden Runden- den Regeln des Data Privacy Framework verpflichten, indem Sie sich in einer Website des U.S. Department of Commerce (DoC) registrieren.
Die schlechte Nachricht:
Auch dieser Angemessenheitsbeschluss wird dem EuGH vorgelegt werden und die wesentliche Kritik am Privacy Shield bleibt für das Privacy Framework bestehen.
Insofern muss damit gerechnet werden, dass auch der Privacy Framework fällt. Es ist ein Spielen auf Zeit.
Gegenüber dem Privacy Shield, das seit dem Schrems II-Urteil des EuGH aus 2020 nicht mehr anwendbar ist, gibt es zwar einige Verbesserungen, aber die Rechtslage in der USA ist unverändert:
Nicht-US-Bürger genießen keinen angemessenen Schutz der Privatsphäre.
Nicht-US-Bürger dürfen gemäß dem Foreign Intelligence Surveillance Act (FISA) von den US-Sicherheitsbehörden überwacht werden (US-Bürger sind davon ausgenommen). Es gilt hier zweierlei Recht für US-und Nicht-US-Bürger.
Der Europäische Datenschutzausschuss hat zwar die Verbesserungen gegenüber den Privacy Shield gewürdigt, aber es bleiben einige Kritikpunkte erhalten.
Laut Max Schrems ist die Bedeutung des Begriffs, was „verhältnismäßige Überwachungsmaßnahmen“ sind, von US-Seite und aus DSGVO/EuGH-Sicht durchaus widersprüchlich.
Im Klartext: Die US-Seite sieht die Verhältnismäßigkeit aus Sicht ihrer Sicherheitsbehörden gewahrt (die sich entsprechend der Executive Order in ihrer Sammelwut beschränken sollen) während die europäische Seite und insbesondere der EuGH die Verhältnismäßigkeit hinsichtlich des Schutzes (der Daten) natürlicher Personen im Blick hat.
Und dank des Privacy Framework kann mensch sich an ein neu zu schaffendes Exekutivorgan wenden, den „Data Protection Review Court“, der eine Löschung der Daten anordnen kann- sofern feststellt wird, dass gegen die neuen Garantien verstoßen wurde.
Ob damit die Betroffenenrechte der DSGVO durchgesetzt werden können bleibt fraglich.
Max Schrems gibt an, dass die dritte Klage bereits vorbereitet ist und sobald der Privacy Framework zur Anwendung kommt, die Klageschrift ausformuliert und einem nationalen Gericht vorgelegt wird. Mit einer Vorlage beim EuGH wäre dann in 2024 und mit einem Urteil frühestens 2025 zu rechnen.
Was nun?
Grundsätzlich können europäische Unternehmen und öffentliche Einrichtungen sich bei der datenschutzrechtlichen Absicherung von Datentransfers in die USA auf den Privacy Framework und den Angemessenheitsbeschluss berufen.
Dabei sollten Verantwortliche unter anderem regelmäßig überprüfen, ob die Datenimporteure nach dem Privacy Framework zertifiziert sind und ob der Angemessenheitsbeschluss noch gilt, in der Kurzinformation der Bayrischen Datenschutzaufsichtsbehörde zum Angemessenheitsbeschluss wird ein Vorgehen empfohlen.
Aus der Erfahrung der ersten beiden Runden empfiehlt es sich aber, flankierend die neuen Standardvertragsklauseln und zusätzliche Maßnahmen zum Schutz der personenbezogenen Daten mit den US-amerikanischen Auftragnehmern zu vereinbaren.
Besser wäre es aus Datenschutzsicht, wenn die US-Firmen die Verarbeitung personenbezogener Daten auf europäische Server beschränken könnten. Einige bieten „EU data residence“ als Option an. Allerdings wird trotzdem in der Regel noch ein gewisser Datenbestand in der USA verarbeitet, so dass der Transfer doch nicht gänzlich entfällt.
Weitere Informationen
Hinweis: Einige der verlinkten Websites binden externe Dienste ein
- EU Kommission –
- Pressemitteilung v. 10.7.2023 – Datenschutz: Europäische Kommission erlässt neuen Angemessenheitsbeschluss für einen sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA
- Adequacy decision for the EU-US Data Privacy Framework (PDF)
- Questions & Answers: EU-US Data Privacy Framework
- heise.de – Kritik an „Wahnsinn“: EU-Kommission gibt Datentransfer in die USA wieder frei
- nyob.eu / Max Schrems – Europäische Kommission gibt EU-US-Datentransfers 3. Runde beim EuGH
- Wikipedia – Foreign Intelligence Surveillance Act
- U.S. Department of Commerce – Data Privacy Framework (DPF) program website (Liste der selbstzertifizierten US-Unternehmen, live ab 17.7.2023)
- Blogbeitrag v. 26.4.2023: Schrems II – Whats next: Entwurf des neuen EU-US Data Privacy Framework
Nachtrag vom 15. August
Eine gute Zusammenfassung der Eckdaten und Empfehlungen für Verantwortliche:
Ergänzungen im Text:
Den Link und ein paar Anmerkungen in den Abschnitt „Was nun?“ mit aufgenommen. Sowie den unterschiedliche Sichtweisen zur Verhältnismäßigkeit erläutert.