Das EU-US Data Privacy Framework (DPF) ist ein Abkommen zum Datenaustausch zwischen der Europäischen Union und den Vereinigten Staaten. Dieser transatlantische Datenschutzrahmen ist am 10. Juli 2023 in Kraft getreten und ermöglicht eine datenschutzrechtlich zulässige Übermittlung personenbezogener Daten aus Mitgliedstaaten der Europäischen Union in die Vereinigten Staaten von Amerika, ohne dass zusätzliche Datenschutzgarantien gewährleistet werden müssen.

Nachdem die sogenannte Safe-Harbour-Entscheidung der EU-Kommission und das Datenschutzabkommen EU-US Privacy Shield, mit den Entscheidungen „Schrems I und II“, vom EuGH als unzulässig erklärt wurden, war ein legaler Datentransfer von personenbezogenen Daten in die USA faktisch unmöglich.

Das EU-US Data Privacy Framework wird, unter anderem, auch unter den Bezeichnungen „Privacy Shield 2.0“ oder kurz „(Data) Privacy Framework“ behandelt.

Grundsätze der Datenübermittlung EU–USA

Eine Datenübermittlung aus der EU in ein Drittland ist nach der Datenschutzgrundverordnung nur dann zulässig, wenn das Drittland neben den allgemeinen Grundsätzen der DSGVO zusätzlich ein angemessenes Datenschutzniveau gewährleisten kann oder der für die Daten Verantwortliche (Datenexporteur) geeignete Garantien für die Einhaltung des Datenschutzes gibt. Angemessen ist das Schutzniveau des Drittlandes nur dann, wenn es dem gewährleisteten Schutzniveau innerhalb der EU der Sache nach gleichwertig ist. Dann kann die Europäische Kommission dies durch einen Angemessenheitsbeschluss festlegen, der es ermöglicht, dass für die Datenübermittlung in dieses Drittland keine zusätzlichen Schutzmaßnahmen durch geeignete Garantien getroffen werden müssen. Wenn ein Drittland einem Angemessenheitsbeschluss unterliegt, müssen also keine zusätzlichen Maßnahmen ergriffen werden, um den Schutz der personenbezogenen Daten zu gewährleisten.

In der Vergangenheit haben sich Unternehmen, die Datentransfers personenbezogener Daten zwischen der EU und den USA vornahmen, wegen der Verwerfung des Privacy Shield-Beschlusses überwiegend auf die von der Kommission zur Verfügung gestellten Standardvertragsklauseln gestützt und zusätzlich zum Beispiel Transfer Impact Assessments (TIA) (Bewertung des Schutzniveaus für Datenübermittlung) durchgeführt, um geeignete Garantien für die Wahrung des Datenschutzes zu gewährleisten. Selbst dann befand sich die Datenübermittlung in die USA in einer rechtlichen Grauzone.

Durchführungsrechtsakt: Angemessenheitsbeschluss

Aufgrund von Angemessenheitsbeschlüssen können personenbezogene Daten frei und sicher aus dem Europäischen Wirtschaftsraum (EWR), zu dem die 27 EU-Mitgliedstaaten, Norwegen, Island und Liechtenstein gehören, in ein Drittland übermittelt werden, ohne dass weitere Maßnahmen oder Genehmigungen notwendig sind.

Es liegt in der Zuständigkeit der EU-Kommission, auf der Grundlage von Art. 45 der EU-Verordnung 2016/679 zu entscheiden, ob ein Drittland außerhalb der EU ein angemessenes Datenschutzniveau gewährleistet. Für einen Angemessenheitsbeschluss bedarf es unter anderem eines Vorschlags der EU-Kommission, einer Stellungnahme des EDSA (Europäischer Datenschutzausschuss) und einer Zustimmung der Vertreter der EU-Länder.

Zeitgeschichtlicher Hintergrund

Safe-Harbor (Framework)

Mit dem am 1. Januar 2000 geschlossenen „Safe-Harbor-Abkommen“, das als Safe-Harbor Framework bekannt wurde (auf Deutsch: „sicherer Hafen“), war für alle Beteiligten eine Möglichkeit gefunden, die transatlantische Datenübertragung zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA) zu regeln. Ziel des Abkommens war, dass Unternehmen in Übereinstimmung mit der europäischen Datenschutzrichtlinie persönliche Daten aus der Europäischen Union in die USA übermitteln können, um den Geschäftsverkehr mit den Vereinigten Staaten datenschutzrechtlich abzustimmen. Mit dem Safe-Harbor Abkommen einigten sich die USA mit der EU-Kommission auf sieben sogenannte Safe-Harbor-Principles und fünfzehn FAQs, die als Leitlinien zur Umsetzung für die Datenexporteure und -empfänger gelten. Voraussetzung für die sichere Datenübertragung unter dem Safe-Harbor Framework war, dass sich die US-amerikanischen Unternehmen, die Datenempfänger von persönlichen Daten aus Mitgliedstaaten der EU waren, verpflichteten, diese Daten nach den vorgenannten Regelungen zu schützen. Dabei konnten die Unternehmen beim Beitritt zum Safe-Harbor-Abkommen selbst entscheiden, für welche Art der personenbezogenen Daten sie die Safe-Harbor-Principles anwenden würden – also auf welche persönlichen Daten sich die Principles beziehen sollen.

Schrems I

Am 6. Oktober 2015 entschied der EuGH, dass die Entscheidung 2000/520/EG der Kommission (vom 26. Juli 2000 gem. der Richtlinie 95/46) über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der FAQs (Leitlinien) gewährleisteten Schutzes ungültig ist. Ab diesem Zeitpunkt bestand Rechtssicherheit, dass eine Datenübermittlung aus der EU in die USA, die lediglich auf die Safe-Harbor-Entscheidung gestützt wurde, ab sofort untersagt ist.

Die Gründe dafür waren unter anderem, dass das Abkommen auf der Selbstzertifizierung der US-amerikanischen Unternehmen unter das Safe Harbor-Framework gestützt war und die Einhaltung der Grundsätze desselben von den amerikanischen Behörden nicht verlangt oder kontrolliert wurde. Außerdem wurde in der Entscheidung der EU-Kommission zu den Grenzen des Safe-Harbor-Abkommens festgelegt, dass US-Unternehmen US-amerikanischen gesetzlichen Verpflichtungen uneingeschränkt nachkommen müssen, auch wenn diese den Grundsätzen des Safe-Harbor-Abkommens entgegenstehen.

Deshalb war es unter dem Safe-Harbor-Abkommen zulässig, dass personenbezogene Daten aus der EU in die USA übermittelt wurden und dort ohne Vornahme einer etwaigen Differenzierung, Ausnahme oder Beschränkung gespeichert wurden, ohne die Möglichkeit, das Zugreifen amerikanischer Behörden zu kontrollieren, einschränken oder verhindern zu können.

Weil die EU-Kommission im Angemessenheitsbeschluss zum Safe-Harbor-Abkommen keine Schlussfolgerung bezüglich der Auswirkungen der innerstaatlichen Gesetze in den USA auf die Angemessenheit des Schutzniveaus vornahm, erklärte der EuGH die Entscheidung der Kommission mit Verweis auf die in der Charta festgeschriebenen Grundsätze (Art. 7, Art. 47) im Ergebnis für ungültig.

EU-US Privacy Shield

Am 12. Juli 2016 handelten die EU-Kommission und die Vereinigten Staaten dann einen neuen Rechtsrahmen zur Übermittlung von personenbezogenen Daten aus der EU in die USA zu gewerblichen Zwecken aus – mit dem EU-US Privacy Shield (auch „Datenschutzschild“ oder kurz „Privacy Shield“). Mit dem neuen Abkommen sollten die wichtigsten Bedenken, die der EuGH mit dem Urteil „Schrems I“ 2015 aufgezeigt hatte, berücksichtigt und eingearbeitet werden, um eine dauerhafte Grundlage zur rechtssicheren Übermittlung persönlicher Daten zwischen EU und USA zu schaffen. Auch das Privacy Shield beruhte auf einem Selbstzertifizierungssystem. Um dem Abkommen beizutreten, mussten sich die teilnehmenden US-Unternehmen der Beachtung der Privacy Shield Principles verpflichten und den US-amerikanischen Behörden – allen voran dem Department of Commerce (US-Handelsministerium) – unterordnen, welches das Recht hatte, die beigetretenen Unternehmen auf Einhaltung der Privacy Principles zu überprüfen. Unternehmen, die dem Abkommen beigetreten waren und sich nicht an die Regelungen hielten, wurden aus der offiziellen Liste der teilnehmenden Firmen entfernt und mussten jegliche gespeicherte persönliche Daten löschen oder die entsprechenden Unterlagen aushändigen.

Das Inkrafttreten des EU-US Privacy Shields wurde insbesondere von gewerblichen Branchen in der EU und den USA befürwortet, ließ aber gleichzeitig die kritischen Stimmen bezüglich des Datenschutzniveaus EU-USA nicht verstummen. Insbesondere einige europäische Verbraucherverbände – unter anderem der Europäische Verbraucherverband (BEUC) – und politische Entscheidungsträger in der EU hielten die Neuregelung nicht für ausreichend.

Schrems II

Am 16. Juli 2020 erklärte der EuGH den Durchführungsbeschluss zum Privacy Shield für unwirksam. In seinem Urteil stellte der Europäische Gerichtshof erneut klar, dass personenbezogene Daten von EU-Bürgern nur dann an Drittländer übermittelt werden dürfen, sofern sie in dem Drittland einen gleichwertigen Schutz wie in der EU genießen.

Dies hat der EuGH im Fall des EU-US-Privacy Shields verneint. Denn der Beschluss ermöglichte weiterhin, dass US-Behörden fast uneingeschränkten Zugang zu personenbezogenen Daten von EU-Bürgern auf Servern in den USA haben. Der EuGH stellte fest, dass der Privacy-Shield-Beschluss 2016/1250 genauso wie sein Vorgänger, die Safe-Harbor-Entscheidung 2000/520, Eingriffe in die Grundrechte von Personen ermöglicht, deren personenbezogene Daten in die USA übermittelt werden und damit den „Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird“.

Der EuGH erklärte den Durchführungsbeschluss über die Angemessenheit des EU-US Privacy Shields der Europäischen Kommission für ungültig, sodass ein sicherer Datentransfer in die USA erneut nicht mehr gegeben war.

Regelungen des EU-US Data Privacy Framework

Als Nachfolger des EU-US Privacy Framework trat am 10. Juli 2023 das EU-US Data Privacy Framework in Kraft, als die Europäische Kommission den Angemessenheitsbeschluss für den neuen Datenschutzrahmen EU-USA annahm. Demnach können die USA ein im Vergleich zur EU angemessenes Schutzniveau für personenbezogene Daten sicherstellen. Dieses richtet sich an alle Unternehmen, die am neuen Datenschutzrahmen zwischen EU und USA teilnehmen. Somit beruht auch der Privacy Shield Nachfolger auf einem Selbstzertifizierungssystem für US-Unternehmen. Eine Zertifizierung und die Teilnahme nach dem DPF können US-Unternehmen bescheinigen, wenn sie sich dazu verpflichten, detaillierte Datenschutzpflichten einzuhalten.

Um die vom EuGH im Schrems-I-Urteil erneut aufgezeigten Problematiken zu berücksichtigen, wurden neue verbindliche Garantien eingeführt, welche in der „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ von der USA als Grundlage des Angemessenheitsbeschlusses unterzeichnet wurden. Dadurch sollen US-Nachrichtendienste nur auf personenbezogene Daten aus der EU zugreifen können, wenn dies notwendig und verhältnismäßig ist.

Außerdem sollen EU-Bürger eine Reihe neuer Rechte gegenüber US-Unternehmen (Datenempfängern) zur Verfügung stehen, die es möglich machen sollen, den Zugang zu ihren Daten, die Löschung oder die Berichtigung unrichtiger oder unrechtmäßiger Daten durchzusetzen und dafür verschiedene Rechtsbehelfe offenhalten, unter anderem durch eine Schiedsstelle sowie unentgeltliche und unabhängig Streitbeilegungsmechanismen.

Die Anträge US-amerikanischer Unternehmen werden vom Handelsministerium der Vereinigten Staaten verwaltet, bearbeitet und dahingehend überwacht, dass die zertifizierten Unternehmen die Anforderungen nach Abschluss der Zertifizierung weiterhin erfüllen. Dazu gehört ebenso eine jährliche Re-Zertifizierung jedes teilnehmenden US-Unternehmens. Die Liste der DPF-zertifizierten Unternehmen ist auf der offiziellen Seite des Data Privacy Frameworks aufruf- und durchsuchbar.

Kritik

Auch in Bezug auf den neuesten transatlantischen Datenschutzrahmen gibt es bereits Kritik von verschiedenen deutschen Datenschutzbeauftragten. Der Grund bleibt wie bei den Vorgängerabkommen gleich: US-Geheimdienste hätten nach wie vor weitreichenden Zugriff auf personenbezogene Daten von EU-Bürgern. Der Jurist Max Schrems, der als Kläger beider Verfahren „Schrems I und II“ die beiden Vorgänger des Data Privacy Frameworks zu Fall gebracht hat, teilt diese Ansicht ebenfalls und hat bereits angekündigt, gegen den aktuellen Nachfolger zu klagen. Absehbar ist zum jetzigen Zeitpunkt bereits, dass auch die Gültigkeit des EU-US Data Privacy Framework vor dem EuGH entschieden wird.

Literatur

  • Fanderl, Niclas, von Blumenthal: Vorstellung des EU-US Data Privacy Shield Frameworks als Privacy-Shield Nachfolger. In: ITRB. Heft Nr. 02, 2023, S. 29.
  • Schuster, Hunzinger: Zulässigkeit von Datenübertragung in die USA nach dem Safe-Harbor-Urteil. In: Computer und Recht. Heft Nr. 12, 2015, S. 787.
  • Schneider: Handbuch EDV-Recht. 5. Auflage. 2017, S. Rn. 413.
  • Mathias Lejeune: Datentransfer in die USA nach der EuGH-Entscheidung zum Safe-Harbor Framework. In: ITRB. Heft Nr. 11, 2015, S. 249–272.
  • Mathias Lejeune: Der EU-US Privacy Shield: eine neue Grundlage zum Datenaustausch mit den USA. In: ITRB. Heft Nr. 11, 2015, S. 193–216.

Einzelnachweise

  1. 1 2 3 4 5 6 7 8 9 Fragen und Antworten: Datenschutzrahmen EU-USA. In: Europäische Kommission. Europäische Union, 10. Juli 2023, abgerufen am 1. August 2023 (deutsch).
  2. Datenschutz: Europäische Kommission erlässt neuen Angemessenheitsbeschluss für einen sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA. In: Europäische Kommission. Europäische Union, 10. Juli 2023, abgerufen am 1. August 2023 (deutsch).
  3. 1 2 3 4 5 6 7 Maxie Schneider: Privacy Shield 2.0: Datentransfer in die USA. 3. August 2023, abgerufen am 3. August 2023 (deutsch).
  4. Privacy Shield Program Overview | Privacy Shield. Abgerufen am 3. August 2023 (englisch).
  5. 1 2 3 4 Fanderl, Niclas, von Blumenthal: Vorstellung des EU-US Data Privacy Shield Frameworks als Privacy-Shield Nachfolger. In: ITRB. Heft, Nr. 02, 2023, S. 29.
  6. 1 2 Welche Vorschriften gelten, wenn meine Organisation Daten nach außerhalb der EU übermittelt? Abgerufen am 3. August 2023.
  7. 1 2 3 4 Schuster, Hunzinger: Zulässigkeit von Datenübertragung in die USA nach dem Safe-Harbor-Urteil. In: Computer und Recht. Heft, Nr. 12, 2015, S. 787.
  8. 1 2 Adequacy decisions. Abgerufen am 3. August 2023 (englisch).
  9. 1 2 Schneider: Handbuch EDV-Recht. 5. Auflage. 2017, S. Rn. 413.
  10. 1 2 3 4 5 6 7 8 Lejeune: Datentransfer in die USA nach der EuGH-Entscheidung zum Safe-Harbor Framework. In: ITRB. Heft, Nr. 11, 2015, S. 249272.
  11. CURIA - Ergebnisliste. Abgerufen am 3. August 2023.
  12. 1 2 PRESSEMITTEILUNG Nr. 117/15. In: Curia. Gerichtshof der Europäischen Union, 6. Oktober 2015, abgerufen am 3. August 2023.
  13. 1 2 3 Lejeune: Der EU-US Privacy Shield: eine neue Grundlage zum Datenaustausch mit den USA. In: ITRB. Heft, Nr. 11, 2015, S. 193216.
  14. 1 2 3 4 Shara Monteleone, Laura Puccio: Vom Safe Harbor zum Datenschutzschild - Fortschritte und Mängel der neuen EU-US-Datenübertragungsregelung. Europäisches Parlament, 2017, abgerufen am 3. August 2023 (deutsch).
  15. DURCHFÜHRUNGSBESCHLUSS (EU) 2016/1250 DER KOMMISSION. In: Amtsblatt der Europäischen Union. 2016, abgerufen am 3. August 2023 (deutsch).
  16. PRESSEMITTEILUNG Nr. 91/20. In: Curia. Gerichtshof der Europäischen Union, 16. Juli 2020, abgerufen am 3. August 2023 (deutsch).
  17. Urteil des Gerichtshofs (Große Kammer) vom 16. Juli 2020. In: EUR-Lex. 2020, abgerufen am 3. August 2023 (deutsch).
  18. 1 2 PRESSEMITTEILUNG Nr. 91/20. In: Curia. Gerichtshof der Europäischen Union, 16. Juli 2020, abgerufen am 3. August 2023 (deutsch).
  19. Data Privacy Framework Program. Abgerufen am 3. August 2023.
  20. Data Privacy Framework Participant Search. Abgerufen am 3. August 2023.
  21. 1 2 Anke Evers: Nach Safe Harbour und Privacy Shield: Neue Grundlage für Datentransfer in die USA. 1. August 2023, abgerufen am 3. August 2023 (deutsch).
  22. 1 2 Google, Facebook, Amazon und Co.: Max Schrems kämpft gegen Europas Daten-Deal - WELT. 17. Juli 2023, abgerufen am 3. August 2023.
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.