Der Schutz personenbezogener Daten ist zu einem zentralen Anliegen in der digitalen Welt geworden. Mit der DSGVO ist insoweit ein europäischer Rechtsrahmen geschaffen worden.
Angesichts des auch stattfindenden transatlantischen Datenaustauschs zwischen der Europäischen Union (EU) und den Vereinigten Staaten von Amerika (USA) ist die Frage der Datenschutzstandards von großer Bedeutung. Um diese zu gewährleisten, wurde am 10.07.2023 ein bedeutender Meilenstein erreicht: Nachdem bereits zwei Datenschutzabkommen mit den USA gescheitert waren, ist mit dem sog. „EU-U.S. Data Privacy Framework“ nun erneut ein internationales Datenschutzabkommen zwischen der EU und den USA vereinbart worden. Die EU-Kommission gab bekannt, einen Angemessenheitsbeschluss dazu gefasst zu haben.
Vor diesem Hintergrund sollen Datentransfers in die USA künftig mit geringeren rechtlichen Hürden möglich sein.
In diesem Beitrag werden wir genauer auf die Hintergründe dieses Beschlusses eingehen und seine Auswirkungen auf den Datenfluss in die USA analysieren.
Ausgangslage
Durch die DSGVO soll die Sicherheit der personenbezogenen Daten aller europäischen Bürger gewährleistet werden. Aufgrund weltweiter Datenströme ist es jedoch von entscheidender Bedeutung, dass europäischen Bürgern auch außerhalb der EU dieselben Rechte zustehen. Gemäß Artikel 44 der DSGVO dürfen Daten nur dann in ein Drittland übermittelt werden, wenn die Drittländer ein Schutzniveau für personenbezogene Daten gewährleisten, das mit dem Schutzniveau der europäischen Datenschutz-Grundverordnung kompatibel ist. Die USA, aus denen viele digitale Lösungen (ChatGPT, Microsoft365 etc.) stammen, werden ebenfalls als sog. Drittland betrachtet.
Art. 45 DSGVO ermöglicht die Übermittlung von Daten in die USA, wenn ein Angemessenheitsbeschluss der Europäischen Kommission oder eine andere Garantie nach Art. 46 der DSGVO vorliegt. Diese Mechanismen gewährleisten allgemein ein angemessenes Schutzniveau für personenbezogene Daten im jeweiligen Drittland.
Eine solche Garantie war zunächst das sog. „EU-US Privacy Shield-Abkommen“. Das Privacy Shield-Abkommen war eine informelle Vereinbarung zwischen der EU und den USA, die eine rechtmäßige Übermittlung personenbezogener Daten von Europa in die USA regelte. Das Privacy Shield sollte eine geeignete und selbstverpflichtende Einverständniserklärung der Unternehmen sein, sich an die europäischen Vorgaben hinsichtlich des Datenschutzes zu halten.
Allerdings erklärte der Europäische Gerichtshof (EuGH) mit Urteil vom 16.07.2020 (Az.: C-311/18) das Privacy Shield-Abkommen für unzulässig, weil das Abkommen den Anforderungen der nationalen Sicherheit und des öffentlichen Interesses nicht genüge und der Einhaltung des amerikanischen Rechts Vorrang einräume. Insbesondere bemängelte der EuGH, dass die in den USA geschützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt seien. Das Urteil war aus einem jahrelangen Rechtsstreit hervorgegangen. Der Datenschutzaktivist Max Schrems hatte bei der irischen Datenschutzbehörde ursprünglich beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet, obwohl diese Daten dort nicht angemessen gegen US-Überwachungsprogramme gesichert seien. Durch eine Klage von Schrems war bereits im Jahr 2015 das transnationale „Safe Harbor“-Abkommen zwischen den USA und der EU für ungültig erklärt worden.
Diese Entscheidung des EuGH hatte erhebliche Auswirkungen auf den transatlantischen Datentransfer und stellte Unternehmen vor neue Herausforderungen. Derzeit müssen alternative Mechanismen, wie beispielsweise Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften (SSC/ Binding Rules) getroffen werden, um den Datentransfer in die USA rechtlich abzusichern. Es bestehen jedoch auch damit weitere rechtliche Unsicherheiten über die langfristige Rechtmäßigkeit für den Datentransfer und vor allem die Sicherheit der personenbezogenen Daten in den USA.
Neues EU-US Data Privacy Framework
Die Europäische Kommission hat am 10.07.2023 ihren Angemessenheitsbeschluss für das EU-US Data Privacy Framework angenommen. Die EU ist also zum Schluss gekommen, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die im Rahmen des neuen Frameworks aus der EU an US-Unternehmen übermittelt werden.
Das EU-US Data Privacy Framework führt neue verbindliche Garantien ein, um alle oben genannten, durch den EuGH geäußerten Bedenken auszuräumen, einschließlich der Beschränkung des Zugriffs auf EU-Daten durch US-Geheimdienste auf das Notwendige und Verhältnismäßige und die Einrichtung eines Datenschutzüberprüfungsgerichts (Data Protection Review Court), zu dem EU-Bürger Zugang haben sollen.
Eine der wichtigsten Veränderungen ist damit die Einschränkung der Überwachungsaktivitäten der US-Behörden. So werde etwa der Zugriff von US-Geheimdiensten auf EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt, um die Überwachung der Daten durch staatliche Behörden zu begrenzen.
Zudem soll wie bereits beschrieben ein spezielles Gericht aufgebaut werden, zu dem EU-Bürger Zugang haben und das die Einhaltung von Datenschutzmaßnahmen prüft. Wird dort festgestellt, dass Daten unter Verstoß gegen die neuen Richtlinien erhoben wurden, kann es die Löschung der Daten anordnen. Den EU-Bürgerinnen und -Bürgern sollen im Ergebnis mehrere Betroffenenrechte geltend machen können, falls ihre Daten von US-Unternehmen nicht ordnungsgemäß verarbeitet werden.
Dabei gilt es jedoch zu beachten, dass die o.g. Grundsätze nur gegenüber bzw. für solche Unternehmen in den USA gelten, die sich dem Datenschutzrahmen EU-USA anschließen und damit verpflichten, eine Reihe von Datenschutzverpflichtungen einzuhalten. Darunter fällt z.B. die Pflicht, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.
Ausblick
Wie sich bereits bei den letzten Abkommen gezeigt hat, bleibt es abzuwarten, ob das EU-U.S. Data Privacy Framework einer Überprüfung durch den EuGH standhalten wird. Auch wenn sich das Datenschutzniveau in den USA durch das EU-U.S. Data Privacy Framework verbessert, ist es nicht auszuschließen, dass der Angemessenheitsbeschluss vor dem EuGH als unzulässig angesehen wird.
Unter Berücksichtigung dessen empfehlen wir weiterhin, sofern möglich, alternative europäische Anbieter bzw. Lösungen zu wählen.
Wenn Anbieter aus den USA stammen, sollten Sie genau prüfen, ob diese sich auch dem EU-U.S. Data Privacy Framework unterworfen haben.
Für Fragen zu den aktuellen Änderungen durch das EU-U.S. Data Privacy Framework wenden Sie sich gerne an uns.
Ihre Ansprechpartner: Rechtsanwälte Dr. Stefan Bischoff & Markus Heinrich