Nach einem Beschluss der EU-Kommission werden nun Datenflüsse in die USA wieder rechtssicher möglich.
Die EU-Kommission hat den endgültigen Angemessenheitsbeschluss zum EU-US-Privacy Framework im Amtsblatt veröffentlicht. Damit endet die drei Jahre lange Hängepartie nach dem Schrems-II-Urteil des EuGHs und es sind Datentransfers an die großen US-Anbieter in Kürze wieder rechtssicher möglich.
Hintergrund: Reaktion auf Schrems II Urteil
Das EU-US-Privacy Framework soll die Kritik des Europäischen Gerichtshofs (EuGH) in seinem Schrems-II-Urteils vom 16. Juli 2020 (C-311/18) adressieren. Der EuGH hatte das bisherige Privacy Shield Framework für ungültig erklärt, da die Massenüberwachung durch US‑Geheimdienste nicht rechtsstaatlichen Mindeststandards genüge. In seinem Schrems II-Urteil erklärte der EuGH den Privacy Shield Framework für ungültig. Die Massenüberwachung durch US-Geheimdienste ohne ausreichenden Rechtsschutz sei ein Verstoß gegen die Grundrechte der betroffenen Personen und rechtsstaatliche Mindestgarantien.
Das neue EU-US Data Privacy Framework regelt nun einen zweistufigen Rechtsschutzmechanismus, bei welchem Bürger:innen gegen Rechtsverstöße bei der Überwachung durch US-Geheimdienste klagen können. Über die Klage entscheidet ein quasi-gerichtlicher „Data Protection Review Court“. Der Data Protection Review Court ist zwar kein Teil der Judikative, soll allerdings innerhalb der Exekutive so weit wie möglich unabhängig sein (dazu bereits unser Blogbeitrag zu den Reformen im US-Geheimdienstrecht).
Beschluss der EU-Kommission: freier Datenfluss an selbstzertifizerte Unternehmen
Die Kommission sieht durch diese Verbesserung im amerikanischen Geheimdienstrecht jetzt das US-Datenschutzniveau als gleichwertig gegenüber der EU an, wenn sich US-Unternehmen nach dem EU-US Data Privacy Framework selbst zertifiziert haben.
Daher hat sie einen Angemessenheitsbeschluss erlassen (Art. 45 DSGVO), nach welchem personenbezogene Daten an selbstzertifizierte US-Unternehmen ohne Weiteres übermittelt werden können.
Selbstzertifizierung des US-Unternehmens nötig
Das EU-US Data Privacy Framework enthält bestimmte Prinzipien für diese Selbstzertifizierung von US-Unternehmen, die sich am europäischen Datenschutzrecht orientieren (eine Art „DSGVO light“). Diese sind notwendig, weil die USA kein allgemein gültiges umfassendes Datenschutzgesetz haben.
Die Selbstzertifizierung erfolgt durch Registrierung des US-Unternehmens auf einer Webseite des U.S. Department of Commerce gegen eine Registrierungsgebühr. Die Webseite dazu soll am 17. Juli 2023 starten.
Ab sofort gelten zudem die ca. 2600 Privacy-Shield-zertifizierten US-Unternehmen zugleich als Data-Privacy-Framework-selbstzertifiziert. Darunter sind alle wichtigen amerikanischen Cloud-Anbieter, SaaS-Anbieter und IT-Dienstleister.
Eine Schrems-III-Entscheidung zeichnet sich ab
Ob das EU-US Data Privacy Framework wirklich den Anforderungen des EuGHs genügt, kann man mit guten Gründen bezweifeln.
Die Einrichtung eines unabhängigen, quasigerichtlichen Gremiums zur Prüfung von Beschwerden ist zwar geschickt und könnte möglicherweise den Anforderungen des EuGHs an einen gerichtlichen Rechtsbehelf genügen. Es bleibt aber unklar, ob die voraussichtlich sehr allgemein formulierte Executive Order, auf welche die umfassenden Überwachungstätigkeiten der US-Geheimdienste gestützt werden, den Anforderungen des EuGHs an klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme genügen wird. Zudem ist anhand der veröffentlichten Dokumente nicht erkennbar, wie die Überwachung durch US-Geheimdienste auf das vom EuGH geforderte „absolut Notwendige“ beschränkt wird.
So wird sich das Schicksal des EU-US Data Privacy Framework wieder vor dem EuGH entscheiden. Bürgerrechtsorganisationen wie das von Max Schrems geleitete noyb haben bereits angekündigt, gegen das EU-US Data Privacy Framework klagen zu wollen. Es ist offen, wie lang es dauern wird, ein Verfahren vor den Europäischen Gerichtshof zu bringen.
Praxistipp: Ergänzender Abschluss von Standardvertragsklauseln (ohne TIA)
Angesichts der offenen Erfolgschancen des EU-US Data Privacy Frameworks vor dem EuGH bietet es sich an:
- Bestehende Standardvertragsklauseln nicht zu kündigen, sondern das EU-US Data Privacy Framework nur als „doppelten Boden“ zu nutzen.
- Zukünftig Standardvertragsklauseln weiterhin mit US-Datenempfängern zu vereinbaren.
Trotzdem bietet die EU-US Data Privacy Framework einen entscheidenden Vorteil: Rechtssicherheit. Der neue Angemessenheitsbeschluss bindet Datenschutzbehörden. Sie dürfen Datenübermittlung an selbstzertifizierte US-Unternehmen nicht untersagen, sondern müssen sie als zulässig behandeln. Damit entfällt die große Unsicherheit bei Standardvertragsklauseln, welche die Datenschutzbehörden teilweise als nicht ausreichenden Schutz für betroffene Personen angesehen haben.
Auch die Übermittlung an nicht-selbstzertifizierte US-Unternehmen wird faktisch vereinfacht. Zwar müssen Verantwortliche mit nicht-selbstzertifizierten Unternehmen mit diesen weiterhin Standardvertragsklauseln abschließen. Diese würden theoretisch die Pflicht zu einer Prüfung des Drittstaatsrecht auf Vereinbarkeit mit europäischen Standards vorsehen (sog. transfer impact assessment; Klausel 14 der Standardvertragsklauseln). Statt ein eigenes transfer impact assessment durchzuführen, können die Parteien daher jetzt auf die bereits vorliegende Prüfung des US-Recht durch EU-Kommission im Angemessenheitsbeschluss verweisen.
Fazit: Und täglich grüßt das Murmeltier im Datenschutzrecht
Nach Safe Harbor und Privacy Shield versuchen EU und USA nun zum dritten Mal, einen Kompromiss zwischen dem hohen Schutzstandard des europäischen Datenschutzrechts und der politisch weiterhin gewollten amerikanischen Massenüberwachung zu finden. Die Erfolgsaussichten sind offen.
Auch danach sollten Verantwortliche weiterhin Standardvertragsklauseln mit US-Unternehmen abschließen, um für das hohe Risiko einer Aufhebung vorzusorgen. So können sie Schrems III mit weniger Sorgen entgegensehen.