Der Beschluss
Im März 2022 haben sich die Europäische Kommission und die US-Regierung auf das EU-US Data Privacy Framework geeinigt. Weitere Informationen dazu sind in unserem Artikel „Neuer Rahmen für den transatlantischen Datenverkehr – Privacy Shield 2.0?!“ zu finden.
Diese Vereinbarung verpflichtete die USA, die grundlegenden Prinzipien des Abkommens rechtlich zu verankern und den Datenschutz in den USA zu stärken. Dies wurde durch die Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities (E.O.) umgesetzt, die am 07.10.2022 von US-Präsident Joe Biden unterzeichnet wurde.
Auf Grundlage dieser E.O. veröffentlichte die Europäische Kommission am 13.12.2022 einen Entwurf für einen Angemessenheitsbeschluss.
Nähere Informationen zu dem Entwurf erhalten Sie in unserem Artikel „EU-US-Datentransfer – auf unterzeichnete E.O. folgt der Angemessenheitsbeschluss-Entwurf“.
Am 10.07.2023 erließ die Europäische Kommission schließlich den Angemessenheitsbeschluss, der es US-Unternehmen ermöglicht, personenbezogene Daten ohne weitere Maßnahmen zu empfangen, nachdem sie sich hierzu zertifiziert haben. Im Rahmen der Zertifizierung verpflichten sich die Unternehmen zur Einhaltung detaillierter Datenschutzpflichten, wie beispielsweise die Löschung der Daten nach Erreichen des Zwecks oder den Schutz der Daten bei Weitergabe an Dritte.
Die Anträge auf Zertifizierung und die Überwachung der Einhaltung liegen in der Verantwortung des US Department of Commerce.
Europäische Unternehmen können nun also überprüfen, ob das entsprechendes US-Unternehmen zertifiziert ist und ob die übermittelten Datenkategorien von der Zertifizierung umfasst sind.
Fehlt eine Zertifizierung oder sind die Datenkategorien nicht umfasst, sind für eine rechtmäßige Übertragung weiterhin zusätzliche Sicherheitsmaßnahmen erforderlich, wie beispielsweise die Verwendung von Standardvertragsklauseln (SCC). Der Angemessenheitsbeschluss erleichtert jedoch auch das Transfer Impact Assessment (TIA), das durch die SCC vorgeschrieben ist, da nun auf die Garantien verwiesen werden kann, die von der US-Regierung gemäß der E.O. eingeführt wurden.
Die Liste der zertifizierten Unternehmen ist auf der offiziellen Webseite des Datenschutzabkommens einsehbar.
Vorgänger
Das EU-US Data Privacy Framework ist nicht der erste Angemessenheitsbeschluss zwischen der EU und den USA. Vorherige Abkommen, wie "Safe Harbour" und das "EU-US Privacy Shield", wurden sowohl im Urteil "Schrems I" von 2015 als auch im Urteil "Schrems II" von 2020 vom EuGH für ungültig erklärt. In beiden Fällen wurde festgestellt, dass der Datenschutz in den USA nicht den europäischen Standards entsprach und dass der Schutz personenbezogener Daten nicht ausreichend gewährleistet wurde.
Kritik
Die Datenschutzorganisation „nyob“, gegründet von dem österreichischen Datenschutzaktivisten Max Schrems, beabsichtigt, voraussichtlich Anfang 2024, vor dem EuGH den Beschluss des EU-US Data Privacy Frameworks anzufechten. Auf ihrer Webseite kritisiert die Organisation, dass das Framework lediglich eine Kopie des vorherigen EU-US Privacy Shields darstelle. Es hätte sich bloß die Formulierung geändert, ohne dass es dadurch jedoch zu einer Änderung des US-Überwachungsrechts gekommen sei.
Als besonders problematisch betrachtet „nyob“ das Wort "verhältnismäßig”, da das Wort in der E.O. eine andere Bedeutung habe als die, die der EuGH dem Wort zuschreibt. Zudem hält die Organisation sowohl den Civil Liberty Protection Officer als auch das Data Protection Review Court für ungeeignete Rechtsmittel.
Schrems äußert sich in einer Stellungnahme zuversichtlich, dass der EuGH das EU-US Data Privacy Framework für ungültig erklären wird.
Unsere Empfehlung
Die Ungültigkeitserklärungen der Vorgängerregelungen des EU-US Data Privacy Frameworks führten in zahlreichen Unternehmen zu zeitaufwendigen und kostspieligen Anpassungen.
Nichtsdestotrotz ist eine Anpassung der Datenschutzerklärungen an die aktuell gültige Rechtslage grundsätzlich erforderlich (vgl. Art. 13 Abs. 1 lit. f DS-GVO).
Basiert die Datenübermittlung nunmehr auf dem Angemessenheitsbeschluss, weil der Dienstleister eine gültige Zertifizierung nachweisen kann, ist daher das EU-US Data Privacy Framework zu nennen. Liegt keine Zertifizierung vor, sind weiterhin die EU-Standvertragsklauseln anzugeben.
Es ist jedoch nicht ausschließen, dass auch das aktuelle EU-US Data Privacy Framework von dem EuGH für ungültig erklärt wird und (Rück-)Anpassungen ggf. notwendig werden.