Allgemeines zu Drittlandübermittlungen und dem DPF
Was ist das DPF?
Das Transatlantic Data Privacy Framework ist ein Datenschutzabkommen zwischen der Europäischen Union und den USA, welches es Unternehmen ermöglicht, personenbezogene Daten aus der EU in die USA zu übertragen. Es wurde von der Europäischen Kommission am 10. Juli 2023 als Angemessenheitsbeschluss (Art. 45 DS-GVO) erlassen und ersetzt das zuvor für ungültig erklärte Privacy Shield.
Wofür wird das DPF benötigt?
Das DPF soll die rechtliche Grundlage für transatlantische Datentransfers schaffen und EU-Unternehmen die sichere Verarbeitung personenbezogener Daten durch US-Unternehmen ermöglichen. Es ist insbesondere für internationale Technologieunternehmen, Cloud-Dienstleister und global agierende Firmen von großer Bedeutung, da ohne ein solches Abkommen erhebliche Einschränkungen für die digitale Wirtschaft entstehen könnten.
Aber auch kleine und mittelständische Unternehmen (KMU) sind stark betroffen, da viele von ihnen auf US-Infrastruktur angewiesen sind. Dienste wie Cloud-Speicher, E-Mail-Anbieter oder CRM-Systeme basieren oft auf Servern großer US-Unternehmen. Ein Wegfall des DPF würde auch KMU zwingen, alternative Lösungen zu suchen oder ihre Datentransfers mit erhöhtem Verwaltungsaufwand abzusichern.
Welche anderen Möglichkeiten für einen rechtskonformen Datentransfer gibt es?
Neben dem DPF existieren weitere rechtliche Mechanismen, um Datenübertragungen in Drittländer wie die USA zu legitimieren:
- Standardvertragsklauseln (SCCs) (Art. 46 Abs. 2 lit. c DS-GVO): Diese von der EU-Kommission erlassenen Vertragsvorlagen regeln den Datenschutz bei Datenübermittlungen außerhalb des Europäischen Wirtschaftsraums (EWR).
- Binding Corporate Rules (BCRs) (Art. 47 DS-GVO): Unternehmen können interne Datenschutzregelungen implementieren, die von den nationalen Datenschutzbehörden genehmigt werden müssen.
- Ausnahmeregelungen nach Art. 49 DS-GVO (z. B. ausdrückliche Einwilligung oder Vertragserfüllung): In besonderen Fällen, wie der ausdrücklichen Einwilligung der betroffenen Person oder der Erforderlichkeit zur Vertragserfüllung, kann eine Datenübermittlung auch ohne DPF oder SCCs erfolgen.
Was gab es vor dem DPF?
Vor dem DPF gab es zwei andere transatlantische Datenschutzabkommen:
- Safe Harbor (2000 - 2015): Dieses Abkommen wurde 2015 durch das Schrems-I-Urteil des EuGH für ungültig erklärt, da es keinen ausreichenden Schutz vor Massenüberwachung bot.
- Privacy Shield (2016 - 2020): Nach Schrems II wurde auch dieses Nachfolgeabkommen für ungültig erklärt, da US-Geheimdienste weiterhin massenhaft auf europäische Daten zugreifen konnten und kein ausreichender Rechtsschutz für EU-Bürger gegeben war.
Das DPF wurde mit der Absicht entwickelt, die vom EuGH beanstandeten Mängel zu beheben – allerdings gibt es erhebliche Zweifel daran, ob dies gelungen ist.
Das Latombe-Verfahren: Hintergrund und bisherige Entwicklungen
Latombe hat seine Nichtigkeitsklage im September 2023 beim Gericht der Europäischen Union (EuG) eingereicht und argumentiert, dass das DPF nicht den Vorgaben des EuGH aus dem Schrems-II-Urteil entspricht. In seinem Schriftsatz benennt er fünf zentrale Verstöße.
- Fehlende Begrenzung der Massenüberwachung: Das US-Recht erlaube nach wie vor umfassende und anlasslose Überwachung von Nicht-US-Bürgern.
- Unzureichender Rechtsschutz: Der "Data Protection Review Court" sei nicht mit einem unabhängigen Gericht vergleichbar und gewähre keinen effektiven Rechtsschutz.
- Fehlende Sicherheit der Datenverarbeitung: US-Unternehmen unterlägen keiner ausreichenden gesetzlichen Verpflichtung zur Datensicherheit (Art. 32 DS-GVO).
- Automatisierte Entscheidungen: Die DS-GVO verlangt Schutz vor automatisierten Entscheidungen ohne menschliche Prüfung (Art. 22 DS-GVO), während das US-Recht dies nicht in gleicher Weise sicherstellt.
- Verfahrensfehler: Die Angemessenheitsentscheidung wurde nur auf Englisch veröffentlicht und verletze daher Sprachregelungen des EU-Rechts.
Ein Eilantrag auf vorläufige Aussetzung des DPF wurde im Oktober 2023 vom EuG abgelehnt, weil Latombe keinen unmittelbaren Schaden nachweisen konnte. Die Hauptsacheklage wird nun ab dem 01.04.2025 vor dem EuG verhandelt.
Mögliche Verfahrensausgänge und Argumente
Der EuG hat im Wesentlichen zwei Möglichkeiten:
1. Der EuG erklärt das DPF für ungültig
Die Hauptsacheklage wird derzeit vom EuG behandelt. Eine spätere Entscheidung des Europäischen Gerichtshofs (EuGH) wäre nur im Rahmen eines Rechtsmittels gegen das EuG-Urteil möglich, sofern eine Partei Berufung einlegt. Da der Fall grundsätzliche Bedeutung für den Datenschutz in Europa hat, ist ein weiteres Verfahren vor dem EuGH nicht ausgeschlossen. Dies wäre der dritte Fall innerhalb von zehn Jahren, in dem ein transatlantisches Datenschutzabkommen für nichtig erklärt wird. Die wahrscheinlichsten Argumente für eine Ungültigkeit sind:
- Massenüberwachung ist weiterhin erlaubt: Trotz neuer US-Verpflichtungen unter Executive Order 14086 sind Programme wie FISA 702 nicht hinreichend eingeschränkt.
- Unzureichende Rechtsbehelfe (Art. 77-79 DS-GVO): Der Data Protection Review Court könnte als nicht ausreichend unabhängig eingestuft werden.
- Fehlende Stabilität: Die Datenschutzgarantien beruhen auf Exekutivmaßnahmen des US-Präsidenten und können jederzeit geändert werden.
2. Der EuG bestätigt das DPF
Während dies von Datenschutzorganisationen als unwahrscheinlich angesehen wird, könnte der EuG zu dem Schluss kommen, dass das DPF eine ausreichende Verbesserung darstellt. Dies wäre möglich, wenn das Gericht die neuen Schutzmechanismen für europäische Bürger als angemessen bewertet. Dazu gehören insbesondere der Data Protection Review Court als Beschwerdeinstanz, neue interne Kontrollmechanismen in US-Behörden sowie spezifische Verpflichtungen zur Datenminimierung und -sicherheit für US-Unternehmen, die sich dem DPF unterwerfen. Auch dagegen kann eine der Parteien Berufung vor dem EuGH einlegen.
Politische Entwicklungen in den USA und deren Einfluss auf die Entscheidung
Seit dem Amtsantritt von Donald Trump hat sich die Situation zudem weiter verändert:
Geschrumpftes Privacy and Civil Liberties Oversight Board (PCLOB)
Trump hat mehrere Mitglieder des PCLOB zum Gehen aufgefordert, sodass dieses nicht mehr arbeitsfähig ist. Da das PCLOB mindestens drei Mitglieder benötigt, um beschlussfähig zu sein, ist es nach diesen Entlassungen handlungsunfähig. Das Board überwacht US-Überwachungsprogramme und bewertet, ob diese mit den Grundrechten vereinbar sind. Ohne eine funktionsfähige Besetzung fehlt eine wichtige Instanz zur Kontrolle von US-Geheimdienstaktivitäten, was erhebliche Zweifel an der Durchsetzung der Datenschutzgarantien des DPF aufwirft.
Mögliche Rücknahme der Executive Order 14086 und ihre Folgen
Sollte die Executive Order 14086 durch die neue Trump-Regierung zurückgenommen werden, hätte dies gravierende Auswirkungen auf das Datenschutzabkommen zwischen der EU und den USA.
Diese Executive Order war eine der zentralen Maßnahmen, mit denen die USA auf die Kritik des EuGH im Schrems-II-Urteil reagiert haben. Sie enthält unter anderem:
- Einschränkungen für US-Geheimdienste, um den massenhaften Zugriff auf personenbezogene Daten von Nicht-US-Bürgern zu begrenzen.
- Einführung des Data Protection Review Court (DPRC), der Beschwerden von EU-Bürgern prüfen soll.
- Verhältnismäßigkeitsprüfung von Überwachungsmaßnahmen, um sicherzustellen, dass Zugriffe auf personenbezogene Daten nur unter bestimmten Bedingungen erfolgen.
Ein zentraler Bestandteil des DPF ist die Garantie, dass US-Überwachungsprogramme auf gesetzlicher Grundlage und unter Aufsicht erfolgen. Die Executive Order 14086 ist die einzige formale Basis für diese Garantien. Ohne sie könnte der EuGH kaum argumentieren, dass sich die Lage seit Schrems II verbessert hat. Damit würde das DPF de facto nicht mehr tragfähig sein und der EuG sowie bei einer möglichen Berufung der EuGH hätte noch mehr Anlass, es für ungültig zu erklären.
Diese Entwicklungen könnten den EuG in seiner Entscheidung bestärken, das DPF für unzureichend zu erklären, wobei Stand jetzt (11.03.2025) die Executive Order 14086 weiter gilt.
Datenschutzrechtliche Folgen eines gekippten DPF
Sollte das DPF für ungültig erklärt werden, ergeben sich folgende Konsequenzen:
- Keine Datenübertragung mehr auf Basis des DPF: Unternehmen müssten wieder auf Standardvertragsklauseln (SCCs) (Art. 46 Abs. 2 lit. c DS-GVO) oder Binding Corporate Rules (BCRs) (Art. 47 DS-GVO) zurückgreifen.
- Hohe Rechtsunsicherheit: Unternehmen müssten ihre Datentransfers individuell prüfen, um Bußgelder nach der DS-GVO zu vermeiden.
- Zunehmende Datenlokalisierung: Unternehmen könnten gezwungen sein, Kundendaten in der EU zu speichern, um rechtlichen Problemen aus dem Weg zu gehen.
- Mögliche Sanktionen: Die EU-Datenschutzbehörden könnten gegen Unternehmen vorgehen, die weiterhin Daten auf Basis des DPF in die USA senden.
Handlungsempfehlungen für Unternehmen
Angesichts der unklaren Lage sollten Unternehmen folgende Schritte erwägen:
- Risikobewertung durchführen: Prüfen, welche Datenströme in die USA fließen und welche Rechtsgrundlagen genutzt werden.
- Alternative Mechanismen implementieren: Falls das DPF fällt, sollten Unternehmen bereits jetzt auf SCCs oder BCRs umsteigen.
- Technische Schutzmaßnahmen verstärken: Verschlüsselung und Pseudonymisierung könnten helfen, Compliance-Risiken zu minimieren.
- Rechtliche Entwicklungen beobachten: Unternehmen sollten sich auf mögliche Anpassungen im Datenschutzrecht vorbereiten und mit Experten beraten.
Das anstehende EuG-Urteil wird die Zukunft des transatlantischen Datenverkehrs maßgeblich beeinflussen. Unternehmen und Datenschutzverantwortliche sollten sich rechtzeitig auf alle Szenarien vorbereiten, um datenschutzrechtliche Risiken zu minimieren.
