EU-U.S. Data Privacy Framework
Datenübermittlung in die USA wieder zulässig?
Foto: iStock.com/kelvn
Vor geraumer Zeit hat sich der österreichische Jurist und Datenschutzaktivist Max Schrems mit Facebook Irland angelegt. Er konnte erwirken, dass die seitens Facebook Irland praktizierte Weiterleitung der Nutzerdaten in die USA für unzulässig erklärt wurde. Jetzt gibt es einen neuen Angemessenheitsbeschluss. Was bedeutet das?
Der EuGH hat in einem Urteil vom 16. Juli 2020 (Az.: C-311/18; „Schrems II“) entschieden, dass der damals zwischen der EU (DSGVO-Datenschutzraum) und den USA abgeschlossene Angemessenheitsbeschluss – auch „privacy shield“ genannt – für unzulässig erklärt wurde. Der EuGH hat im Jahr 2020 festgestellt, dass das Datenschutzniveau der USA insbesondere aufgrund des Umstandes, dass auch der US-Nachrichtendienst bei diversen „Anbietern“ auf die EU-Daten zugreifen konnte, nicht dem der EU entspricht.
Die EU-Kommission hat den transatlantischen Datentransfer saniert.
Wesentlich ist, dass durch die Entscheidung aus dem Jahr 2020 die Übermittlung der Daten in die USA grundsätzlich für unzulässig erklärt wurde. Wenn sich jedoch ein US-amerikanischer Anbieter den seitens der EU-Kommission erarbeiteten Standardvertragsklauseln unterworfen hat, so war trotzdem eine Kommunikation zwischen den Verantwortlichen in der EU und den Anbietern in den USA möglich. Gleiches gilt natürlich, wenn sich der US-amerikanische Anbieter separat eigene verbindliche Datenschutzvorschriften einhält (die von der Aufsichtsbehörde zertifiziert und abgenommen wurden) oder sich vertraglich zum jeweils Verantwortlichen dazu verpflichtet, Verhaltensregeln einzuhalten (die wiederum durch die Aufsichtsbehörde zu genehmigen sind), die dem Datenschutzniveau in der EU entsprechen.
Die Datenkommunikation zwischen der EU und den USA wird deutlich vereinfacht.
Was hat sich mit 10. Juli 2023 geändert?
Die EU-Kommission und der US-Präsident waren von der Entscheidung des EuGH aus dem Jahr 2020 natürlich nicht besonders begeistert. Sämtliche Anbieter, die Teil der internationalen Kommunikation zwischen den USA und der EU sein wollten, mussten sich entweder den von der EU-Kommission erarbeiteten (wohl äußerst restriktiven) Standardvertragsklauseln unterwerfen oder selbst einer Zertifizierung unterziehen. Es ging darum, darzulegen, dass sie die Datenschutzvorschriften auf EU-Niveau einhalten und sich dazu gegenüber dem Vertragspartner (innergemeinschaftlicher Verantwortlicher) vertraglich zur entsprechenden Einhaltung verpflichten.
US-Unternehmen können sich in die Data Privacy Framework-Liste eintragen lassen.
Die EU-Kommission hat am 10. Juli 2023 den mit der Entscheidung „Schrems II“ gekippten transatlantischen Datentransfer saniert und das „EU-U.S. Data Privacy Framework“ verabschiedet, also einen neuen Angemessenheitsbeschluss veröffentlicht. US-Unternehmen können sich ab jetzt einer Selbstzertifizierung durch die zuständige Aufsichtsbehörde unterziehen und in die Data Privacy Framework-Liste eintragen lassen. Dadurch ist sodann garantiert, dass der Datentransfer aus dem EU-Raum zu den in der Liste enthaltenen Anbietern friktionsfrei möglich ist.
Angemessenheitsbeschluss
Im neuen Angemessenheitsbeschluss ist unter anderem angeführt, dass seitens der USA ein Gericht zur Datenschutzüberprüfung eingerichtet wird – der sogenannte DPRC (Data Protection Review Court) – und der Zugang zu den EU-Daten durch die US-Behörden im Sinne der Sicherheit auf das notwendige und verhältnismäßige Maß reduziert wird. Gerade diese Aspekte führen dazu, dass die Datenkommunikation zwischen der EU und den USA deutlich vereinfacht wird. Es ist davon auszugehen, dass sich die größten Techanbieter für Social Media und Cloudlösungen in Bälde zertifizieren lassen bzw. die entsprechenden Maßnahmen auf sich nehmen, um sich in die Framework-Liste eintragen zu lassen.
Die größten Techanbieter für Social Media und Cloudlösungen werden sich sicher in Bälde zertifizieren.
Wird es zu einer neuen Prüfung kommen?
Aus den Medien kann entnommen werden, dass noyb (die Datenschutz- und Verbraucherschutzorganisation) den Angemessenheitsbeschluss bereits genauer unter die Lupe genommen hat und zur Conclusio gekommen ist, dass auch das „EU-U.S. Data Privacy Framework“ wohl wieder vor dem EuGH zur Überprüfung landen wird. Es wird sich in Hinkunft also zeigen, ob bzw. in welcher Form eine Kommunikation zwischen der EU und den USA möglich sein wird.