EU-US Data Privacy Framework – der neue Angemessenheitsbeschluss zwischen EU und USA

Die Jahre der Rechtsunsicherheit über den Datentransfer zwischen der EU und den USA sind vorbei. Die Europäische Kommission kommt ihrer Verpflichtung nach und erlässt einen neuen Angemessenheitsbeschluss. Die Unternehmen können endlich aufatmen. Aber stimmt das wirklich?

Was hat es mit dem neuen Angemessenheitsbeschluss auf sich?

Für die Übermittlung von Daten in ein Drittland bedarf es einer doppelten Rechtsgrundlage. Es muss zunächst wie bei jeder Verarbeitung auch innerhalb der EU einer der Gründe aus den Art. 6 ff. DSGVO vorliegen. Darüber hinaus bedarf es für die Übermittlung an einen Drittstaat mindestens einer Rechtsgrundlage der Art. 45 ff. DSGVO. Nach dem Urteil Schrems II vom 16. Juli 2020 gab es nur die Möglichkeit der Standardvertragsklauseln aus Art. 46 DSGVO. Dies ist jedoch eigentlich eine Ausnahmevorschrift, wenn kein Mechanismus gem. Art. 45 DSGVO vorliegt. Dieser ist nun im neuen Angemessenheitsbeschluss der Europäischen Kommission und den USA gefunden worden.

Was beinhaltet der neue Angemessenheitsbeschluss?

Der neue Angemessenheitsbeschluss soll nun die Wende bringen und die Sicherheit der zu verarbeitenden Daten garantieren. Dazu sind die Mechanismen aus Privacy Shield weiterentwickelt worden. US-Organisationen, welche am Datenaustausch mit der EU teilnehmen wollen müssen ein Zertifizierungssystem durchlaufen. Sie müssen insbesondere den Ermittlungs- und Durchsetzungsbefugnissen der Federal Trade Commission (FTC) oder dem Department of Transport (DoT) unterliegen. Damit verpflichten sie sich dem „EU-US Data Privacy Framework“, welches vergleichbar sein soll mit den Anforderungen der DSGVO. Es darf demnach keine kostenlosen Auskünfte und kein Verbot mit Erlaubnisvorbehalt (Notice/Choice = Opt-Out) geben.

Nachrichtendienstliche Tätigkeiten sollen nur noch in einem erforderlichen und verhältnismäßigen Maße erlauben sein. Darüber hinaus soll insbesondere ein neues Rechtsschutzsystem installiert werden. Betroffene reichen demnach ihre Beschwerde direkt bei einer nationalen Behörde ein. Diese leitet sie dann weiter an einen Civil Libertes Protection Officer (CLPO), welcher die Beschwerde prüft. Werden Verstöße gegen Freiheitsrechte festgestellt, werden geeignete Maßnahmen in die Wege geleitet. Es gibt darüber hinaus die Möglichkeit für den Betroffenen sich an einen Data Protection Review Court (DPRC) zu wenden. Dafür muss er sich jedoch durch einen „special advocates“ vertreten lassen und der DPRC entscheidet über die Beschwerde. Stellt das Gericht wiederum einen Verstoß fest, so kann es geeignete Maßnahmen zur Abhilfe anordnen.

Konnten Kommission und US-Regierung mit dem neuen Angemessenheitsbeschluss die Kritikpunkte von Privacy Shield ausräumen?

Im Schrems II Verfahren hatte der EuGH am 16. Juli 2020 geurteilt, dass der bis dahin geltende Angemessenheitsbeschluss Privacy Shield den Anforderungen der DSGVO nicht genügt. Vom Gericht wurden hauptsächlich zwei Punkte bemängelt. Zum einen, dass die Massenüberwachung nicht auf das absolut notwendige Maß beschränkt wurde wodurch das US Amerikanische Überwachungsprogramm zu weitreichende Befugnisse hatte. Zum anderen wurde die Installierung eines Ombudsmans als nicht ausreichend angesehen. Dieser sei kein unabhängiges und unparteiisches Gericht und könne keine verbindlichen Entscheidungen treffen. Auf das Vorhandensein einer solchen Institution wird jedoch explizit in Art. 45 II b) DSGVO hingewiesen.

Ob der neue Angemessenheitsbeschluss tatsächlich alles besser macht bleibt fraglich. Auch die neue Regelung der Kommission wird wohl von der Nichtregierungsorganisation NOYB im Wege der Nichtigkeitsklage vor das EuG und im Wege des Vorabentscheidungsverfahrens vor den EuGH gebracht werden.

Die Kritikpunkte ähneln denen, die es schon an Privacy Shield gab. Insbesondere gibt es vor dem neu eingerichteten Data Protection Review Court kein faires Verfahren, da die Entscheidung bereits feststeht und der Betroffene nicht selbst beteiligt ist. Das Verfahren ist darüber hinaus ausnahmslos nicht öffentlich. Am schwersten wiegt jedoch, dass die Privacy Principles kein gleichwertiges Schutzniveau garantieren können und damit die Anforderungen der DSGVO erneut nicht erfüllt sein dürften.

Unternehmen sollten weiterhin auf die Standardvertragsklauseln setzen.

Wie sollten sich Unternehmen nun bei Übermittlungen von Daten in Drittstaaten verhalten? Können sie sich auf den Angemessenheitsbeschluss der Kommission verlassen? Oder bedarf es trotz der neuerlichen Regelung weiterhin der Standardvertragsklauseln gem. Art. 46 DSGVO?

Zunächst sind die Standardvertragsklauseln weiterhin relevant für die Datenübermittlung an Unternehmen, die nicht dem Angemessenheitsbeschluss unterliegen bzw. welche keinen Angemessenheitsbeschluss gem. Art. 45 DSGVO haben. Auch im Falle der Anordnung der Aussetzung einer Übermittlung durch die Aufsichtsbehörde können die Standartvertragsklauseln weiterhin zur Anwendung kommen. Vor allem aber ist nicht auszuschließen, dass auch der neue Angemessenheitsbeschluss den Anforderungen nicht standhält und für ungültig erklärt wird. In diesem Fall sind Unternehmen wieder auf die Standardvertragsklauseln angewiesen, um eine rechtssichere Datenübertragung zu gewährleisten. Der Fall Meta vom 22. Mai 2023 zeigt, wie empfindlich die Strafen bei Verstößen bei der Datenübermittlung sein können.

Was ist für Unternehmen nun konkret zu tun, um eine sichere Datenübermittlung und Anpassung an die Vorgaben der EU zu garantieren?

Wie können Unternehmen die Sicherheit ihrer Datenübermittlungen garantieren und sich bestmöglich den Regelungen anpassen? Bei der Nutzung von Standardvertragsklauseln muss neuerdings auch ein Transfer Impact Assessment (TIA) durchgeführt werden. Darunter ist eine durch das Unternehmen selbst durchzuführende Prüfung aller Übermittlungen an Drittländer und insbesondere der Datenschutzniveaus der Drittländer zu verstehen. Besondere Bedeutung hat im Falle der USA die Executive Order (EO) 14086.

Das Unternehmen sollte im ersten Schritt eine Bestandsaufnahme aller Übermittlungen anlegen. Diese sollte insbesondere umfassen: Die Länder, in die übermittelt wird oder werden soll, die Datenkategorien, die ergriffenen TOMs und die „Instrumente“ für die Übermittlung (Art. 44 ff. DSGVO). In einem nächsten Schritt muss dann eine Risikoanalyse für jedes Drittland angefertigt werden, in welches Daten übermittelt werden sollen. Dabei ist vor allem auf Eingriffsbefugnisse der Behörden sowie Rechtsschutzmöglichkeiten der Betroffenen, als Eckpfeiler des Datenschutzes zu achten. Als Quellen für eine sinnvolle Prüfung werden empfohlen: Die Gutachten der Datenschutzaufsichtsbehörden, sowie www.essentialguarantees.org.

Als nächstes sollte Anhand der ermittelten Datenkategorien und Sicherheitsniveaus in den Drittstaaten eine Risikoanalyse für die betroffenen Personen angefertigt werden. Hierbei empfiehlt sich eine Einteilung in geringes, normales und hohes Risiko. Im Anschluss daran kann eine Entscheidung getroffen werden, ob über die Standardvertragsklauseln hinausgehende Maßnahmen und Garantien erforderlich sind. In Betracht kommen vertragliche, technische oder organisatorische Maßnahmen.

Marc E. Evers

Rechtsanwalt

zert. DSB

zert. DS-Auditor

Milan Walbaum

Wissenschaftlicher Mitarbeiter