Die EU-Kommission hat 10.7.2023 einen Adäquanzbeschluß gefällt, der den Datentransfer zwischen EU und USA vereinfachen soll. Dadurch gelten die USA unter bestimmten Voraussetzungen wieder als sicherer Drittstaat im Sinne der DSGVO.
Damit endet eine dreijährige Phase der Verunsicherung. Denn nachdem der Europäische Gerichtshof 2020 das Vorgängerabkommen (EU-US Privacy Shield) kassiert hatte, war eine rechtssichere Übertragung sensibler Daten nur noch mit zusätzlichem Aufwand möglich.
Das Urteil des EuGH damals: Personenbezogene Daten dürfen nur in Länder übertragen werden, deren Datenschutz so streng ist wie der europäische. Diese Bedingung erfüllten die USA aus Sicht der Richter nicht, da US-Behörden trotz “Privacy Shield” fast ungehindert Zugang zu den Daten von EU-Bürgern hatten, wenn diese auf US-Servern lagen. Außerdem existierte kein angemessener Rechtsschutz für EU-Bürger, die gegen die Nutzung ihrer Daten vorgehen wollten.
Geklagt hatte der österreichische Datenschutzaktivist Max Schrems gegen die Übertragung von Daten durch Facebook aus Europa in die USA. Dort hätten NSA und FBI legal Zugriff auf persönliche Daten von Europäern.
Das sahen die Richter am EuGH genauso. Das Urteil wurde als Schrems-II bekannt und machte den EU-US Privacy Shield über Nacht ungültig. Betroffen war somit nicht nur Facebook, sondern auch Microsoft, Google, Apple, Yahoo und jeder andere Serviceanbieter mit Kunden in Europa.
Aber auch die Datenschutzerklärungen vieler europäischer Unternehmen wurden hinfällig.
Wer danach immer noch personenbezogene Daten in die USA übertragen wollte, musste dafür Standardvertragsklauseln (SCC) abschließen und ein Transfer Impact Assessment (TIA) durchführen.
Was ändert sich?
Das EU-U.S. Data Privacy Framework (DPF) schafft eine allgemein gültige Rechtsgrundlage für Datentransfers in die USA. Es wird wieder deutlich einfacher, personenbezogene Daten in den USA zu speichern oder zu verarbeiten. Die bislang erforderlichen Maßnahmen hatten gerade für kleinere Unternehmen oft erheblichen Aufwand bedeutet.
Was ist zu tun?
- Voraussetzung ist, dass das US-Unternehmen auch beim Department of Commerce (DOC) zertifiziert ist. Solche Anbieter sind in der Data Privacy Framework List aufgeführt.
- Für alle anderen US-Datenverarbeiter ändert das neue Abkommen überhaupt nichts. In diesen Fällen gelten die gleichen Regeln wie für Unternehmen aus Ländern ohne Angemessenheitsbeschluss. Prüfen Sie also, ob Ihre Vertragspartner dem DPF beigetreten sind.
- Vorhandene SCC bleiben bis dahin nötig, sollten also nicht gekündigt werden, bis Sie einen neuen DPF-basierten Vertrag mit Ihrem US-Partner abgeschlossen haben.
- Prüfen Sie, ob Sie Ihre Datenschutzdokumentation anpassen müssen. Datenschutzerklärung, Informationspflichten und Ihr Verzeichnis von Verarbeitungstätigkeiten können betroffen sein.
Wie geht es weiter?
Damit das Data Privacy Framework ausgehandelt werden konnte, erließ US-Präsident Joe Biden am 07.10.2022 eine Executive Order. Darin wird den US-Geheimdiensten weiterhin Zugriff auf die Daten von Europäern gestattet. Genau dieser Zugriff aber war in der Vergangenheit Grund für die Ablehnung der Vorgängerabkommen durch den EuGH.
Bidens Präsidentenerlass legt nun fest, dass der Datenzugriff der Geheimdienste “verhältnismäßig” sein solle. Ob das dem “angemessenen” Schutz personenbezogener Daten genügt, den die DSGVO fordert, wird den Europäischen Gerichtshof bald wieder beschäftigen.
In Bezug auf den Rechtsschutz gibt es einen Fortschritt: EU-Bürger können jetzt nicht nur Beschwerde gegen die Verarbeitung ihrer Daten einlegen, sondern auch vor einem US-Gericht dagegen klagen.
Die Datenschutzbeauftragten von Hessen, Niedersachsen und Thüringen gehen nicht davon aus, dass das Data Privacy Framework dauerhaft Bestand haben wird. Max Schrems hat seine Einwände gegen das EU-U.S. Data Privacy Framework bereits öffentlich gemacht. Seine Klage dürfte folgen.