Wir haben versucht, in der Vergangenheit die wichtigsten Entwicklungen und Entscheidungen und die damit verbundenen Aufgaben, die unsere Kund : innen zu erfüllen haben und die der EU-US DATA Privacy Framework vorangingen, darzustellen. Verweisen möchten wir auf folgende Beiträge / Bits.
Jetzt der nächste Versuch
Nachdem es in der Vergangenheit verschiedene Abkommen und Angemessenheitsbeschlüsse gab, die durch die sogenannten Schrems-Urteile wieder gekippt wurden, nun also seit Juli 2023 ein neuer Versuch. Ob es sich hierbei um die Lösung aller Probleme der vergangenen Abkommen handelt, oder sich auch dieser Anlauf als Reinfall herausstellt, wird sich wohl noch zeigen müssen.
- Safe Harbor (2000) /Schrems I (2015)
- Privacy Shield (2016) / Schrems II (2020)
- DPF (2023) / ????
Kurze Erklärung zum EU-US DATA Privacy Framework
Seit Schrems II bestand für Unternehmen eine Rechtsunsicherheit, wenn Unternehmen personenbezogene Daten zwischen der EU und den USA transferieren mussten / wollten. Das Urteil stellte heraus, dass Unternehmen sich bei der Übermittlung von Daten nicht auf einfache Standardvertragsklauseln verlassen können. Zusätzlich zu den Standardvertragsklauseln (SCC) mussten insbesondere erweiterte Maßnahmen zur Einhaltung des Datenschutzes geschlossen werden. Durch diese Standardvertragsklauseln wird gewährleistet, dass die Daten beim Auftragsverarbeitungsnehmer ebenso gut geschützt werden, wie beim Auftragsverarbeitungsgeber.
Aufgrund des neuen „EU-US DATA Privacy Framework“-Abkommens hat vor Kurzem die EU-Kommission nach Art. 45 der Datenschutzgrundverordnung (DSGVO) einen Angemessenheitsbeschluss für die Datenübermittlung in die USA getroffen. Im Idealfall hieße das, keine aufwändigen Zusatz-Klauseln, kein Überprüfen der Sicherheitsstandards mehr, wer dem Abkommen beigetreten ist, kann als datenschutzkonformes Unternehmen gewertet und ohne Sorge für eine Zusammenarbeit in Betracht gezogen werden.
Unternehmen mit Sitz in den USA treten diesem „EU-US DATA Privacy Framework“-Abkommen also „einfach“ bei und schon ist die Datenübermittlung in die USA aus datenschutzrechtlicher Sicht kein Problem mehr. Die Lösung scheint unkompliziert, schnell und simpel und stellt alle Beteiligten zufrieden. Oder?
Was genau erforderlich ist, zeigt die folgende Darstellung. Kein Wunder also, dass die „Großen“ alle bereits beigetreten sind:
- Registrierung bei US-Handelsbehörde.
- Verpflichtung zu Datenschutzgrundsätzen.
- Framework-konforme Datenschutzrichtlinie.
- Implementierung von Regressmechanismen.
- Finanzielle Zuwendungen an die Streitbeilegungsverbände.
Beitreten können alle Unternehmen, die den Ermittlungs- und Durchführungsbefugnissen der Federal Trade Commission (der ›FTC‹), des U.S. Department of Transportation (des ›DOT‹) oder einer anderen Behörde, die die Einhaltung der Grundsätze wirksam gewährleistet, unterliegen. Um beizutreten, müssen sich die Unternehmen öffentlich dazu verpflichten. Hier ein Beispiel zu Microsoft.
Des Weiteren müssen sie sich verpflichten, die Datenschutzgrundsätze des EU-US Data Privacy Framework einzuhalten und ihre entsprechenden Datenschutzrichtlinien veröffentlichen. Doch ob das ausreicht, um die Daten angemessen zu schützen?
Die geringen Hürden, die benötigt werden, um dem Abkommen beizutreten, lassen darauf schließen, dass sich im Vergleich zur vorherigen Datenschutzlage nur wenig bis gar nichts in der Praxis verändern wird. Böse Zungen könnten behaupten, dass es sich beim „EU-US DATA Privacy Framework“-Abkommen um viel Wind um nichts handelt, der die beteiligten Unternehmen zwar in einem besseren Licht dastehen lässt, jedoch für die EU-Bürger keinen signifikanten Unterschied bezüglich der Rechte auf ihre personenbezogenen Daten macht. Und wer ganz pessimistisch ist, könnte das „EU-US DATA Privacy Framework“-Abkommen bereits in die Reihe seiner gescheiterten Vorgänger einsortieren.
Klage gegen Abkommen eingereicht
Tatsächlich wurde weniger als 60 Tage nach Verabschiedung des neuen Angemessenheitsbeschlusses zur Übermittlung von personenbezogenen Daten in die USA bereits die erste Klage eingereicht.
Beim Europäischen Gerichtshof (EuGH) hat der französische Parlamentarier Philippe Latombe diese als Privatperson, nicht als Initiative, eingereicht. Latombe sieht sich durch den Angemessenheitsbeschluss in seinen Rechten verletzt, weil das EU-US Data Privacy Framework seiner Ansicht nach weder mit der DSGVO noch mit der EU-Grundrechtecharta vereinbar sein soll. Wie Politico berichtet, soll die Klage sowohl das Ziel einer vorübergehenden Aussetzung des Angemessenheitsbeschlusses (Eilrechtsschutz) als auch eine inhaltliche Überprüfung des Abkommens haben.
Ist das „EU-US DATA Privacy Framework“-Abkommen also nur eine Eintagsfliege? Ist ein Scheitern vorprogrammiert, wie auch bei den vergangenen Versuchen, eine sichere Übermittlung von Daten aus der EU in die USA durch eine rechtliche Grundlage zu gewährleisten?
Egal also, ob Durchbruch für die Rechte und Freiheiten der von der Datenverarbeitung lebenden Bürger in der EU. Klarheit wird es wohl so schnell nicht geben, auch wenn die Klageeinreichung erst einmal nichts an der Gültigkeit des Abkommens ändert. Ob es bei der einen Klage bleibt, oder sich mit der Zeit weitere ansammeln werden, wird sich zeigen. Auch wird sich herausstellen, wie das Abkommen in der praktischen Umsetzung abschneidet.
Unternehmen, die sicher gehen wollen, sollten auch weiterhin Maßnahmen ergreifen, um die ihnen anvertrauten personenbezogenen Daten ihrer Beschäftigten, Kund : innen und Lieferant : innen bestmöglich zu schützen. Zumindest bis eines Tages ein Abkommen getroffen wird, das sich mit europäischem Recht vereinbaren lässt.
Hilfreich sind hier vielleicht die vom Landesbeauftragten für den Datenschutz festgelegten allgemeinen Grundsätze für internationalen Datenverkehr:
Abschließend kann festgehalten werden, dass die Anforderungen des „EU-US DATA Privacy Framework“-Abkommens wahrscheinlich mehr Sicherheit versprechen, als sie tatsächlich in der Umsetzung bieten. Dennoch kann nicht abgestritten werden, dass jede Form von gesetzlicher Grundlage und Richtlinie, die den Schutz personenbezogener Daten fördert und die Zusammenarbeit von Anbietern innerhalb der EU und den USA vereinfacht, als positiv gewertet werden kann. Auch wenn Kritik durchaus berechtigt ist und eine Überarbeitung des Abkommens durchaus sinnvoll wäre, muss ihm dennoch zugestanden werden, dass es nicht gänzlich schlecht ist und durchaus auch gute Eigenschaften aufweist, die in eine richtige Richtung verweisen, auch wenn der Weg vermutlich noch lang ist, bis die Daten EU-Bürger sicher in die USA übermittelt werden können.
Gern beraten wir Sie, wenn Sie weitere Informationen oder Hilfestellungen bezüglich einer sicheren Übermittlung von Daten benötigen.