31.07.2023 — Rolf Becker. Quelle: Verlag Dashöfer GmbH.
Ziemlich genau drei Jahre hat es bis heute gedauert, seit der Europäische Gerichtshof (EuGH) das Nachfolgeabkommen zu Safe Harbour, den unter „Privacy Shield“ bekannten Angemessenheitsbeschluss mit Urteil vom 16. Juli 2020 (Az. C-311/18) für ungültig erklärte. Damit fehlte plötzlich eine rechtliche Grundlage für die Datenübertragung von personenbezogenen Daten und deren Verarbeitung in die USA, auf die sich die meisten Unternehmen berufen hatten. Dies hatte erhebliche Auswirkungen auf Unternehmen, die insbesondere Softwaredienstleistungen des digitalen Weltmarktführers USA nicht mehr ohne Weiteres einsetzen konnten. Die europäische Datenschutzgrundverordnung (DSGVO) erlaubt den Datentransfer in ein Nicht-EU-Land, wenn die Daten dort in einem vergleichbaren Niveau geschützt sind, wie in der EU. Ansonsten bedarf es weiterer Garantien. Dies sollte das Privacy Shield Abkommen sicherstellen.
Dem EuGH fehlte bei den nahezu unbeschränkten Eingriffsmöglichkeiten von NSA, FBI und Heimatschutz ein angemessener Rechtsschutz für die EU-Bürger. Hier gab es nur einen Ombudsmann mit wenig Macht gegen US-Gesetze wie den Foreign Intelligence Surveillance Act (FISA), der behördliche Massenüberwachungsmaßnahmen („PRISM“ und „UPSTREAM“) ermöglichte. Damit ereilte das Privacy Shield Abkommen das gleiche Schicksal, wie schon zuvor das Vorgängerabkommen „Safe Harbour“ in 2015. Die Liste der teilnehmenden Firmen liest sich wie das Who is who der US-amerikanischen Branche zu digitalen Dienstleistungen. Als viele US-Unternehmen reagierten und die Verarbeitung von Daten auf Tochterunternehmen, die in der EU ansässig sind, verlagerten, wurde auch deren Einsatz zwischenzeitlich kritisch behandelt.
Obwohl man sich gleich an die Reparaturarbeiten machte, dauerte es bis zum März 2022, bis sich EU-Kommission und USA auf das neue „Trans-Atlantic Data Privacy Framework“ einigten. US-Präsident Biden erließ am 07.10.2022 zur Umsetzung im US-Recht seine Executive Order „Enhancing Safeguards for United States Signals Intelligence Activities“. Auf dieser Basis war auch ein neuer Angemessenheitsbeschluss für das Frühjahr 2023 erwartet worden, der jetzt am 10.07.2023 durch die EU-Kommission endlich erlassen wurde, nachdem im Februar 2023 der Europäische Datenschutzausschuss grünes Licht gegeben hatte.
Mit dem Datenschutzrahmen EU-USA werden neue verbindliche Garantien eingeführt, um vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen. Unter anderem soll der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt werden und es wird ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) in den USA geschaffen, zu dem Einzelpersonen aus der EU Zugang haben.
Nach Artikel 45 Abs. 3 DSGVO kann die Europäische Kommission beschließen, dass ein Drittland außerhalb der EU ein „angemessenes Schutzniveau“ bietet, das heißt einen Schutz personenbezogener Daten, der dem in der EU gebotenen Schutz der Sache nach gleichwertig ist. Angemessenheitsbeschlüsse haben zur Folge, dass personenbezogene Daten aus der EU (sowie aus Norwegen, Liechtenstein und Island) in ein Drittland übermittelt werden können, ohne dass es weiterer Schutzmaßnahmen bedarf.
Ganz so einfach ist der weitere Fortgang jetzt nicht. US-Unternehmen können sich nun dem neuen Datenschutzrahmen zwischen EU und USA anschließen, indem sie sich entsprechend zertifizieren. Stand Mitte Juli sind es bereits ca. 2600 Unternehmen. Im Rahmen der Zertifizierung, die jährlich zu wiederholen ist, geben die Unternehmen bestimmte Verpflichtungserklärungen zur Einhaltung von Datenschutzgrundsätzen ab. Diese sind im Anhang 1 des Angemessenheitsbeschlusses aufgeführt.
Die Erleichterung für EU-Unternehmen besteht jetzt darin, dass Datentransfers an zertifizierte US-Unternehmen ohne weitere Garantien erfolgen können. Insbesondere müssen auch die neuen Standardvertragsklauseln nicht mehr abgeschlossen werden.
Anders sieht es aus, wenn es um Unternehmen geht, die noch nicht zertifiziert sind. Hier spielt dann Bidens Executive Order eine Rolle, die mehr Schutz vor staatlichen Datenzugriffen bieten soll. Diese erleichtern nach Angaben der EU-Kommission die Datentransfers, weil sie ein in dieser Beziehung dann immer noch notwendiges Transfer Impact Assessment (TIA) positiv unterstützen. Bei einem TIA handelt es sich um eine Analyse des Sicherheitsniveaus des jeweiligen Drittlandes, die durch ein Unternehmen selbst durchgeführt wird.
Darin sind neben den aufzuführenden tatsächlichen Umständen zu den geplanten Übermittlungen die geltenden Rechtsvorschriften im Bestimmungsland zu prüfen, wie z. B. der US Cloud Act, der Unternehmen zur Offenlegung von Daten gegenüber US-Behörden zwingt und ergänzende Maßnahmen in die Abwägung einzubeziehen, bevor dann nach positiver Abwägung die Standardvertragsklauseln abgeschlossen werden können.
Niemand wundert sich, dass es bereits Kritik gibt und es dürfte nicht allzu lange dauern, bis das neue Abkommen erneut vor dem EuGH landet. Wie schnell das gehen wird, bleibt abzuwarten. Bei „Privacy Shield“ dauerte es 4 Jahre. Noyb, die Datenschutzorganisation von Schrems, der auch die anderen Abkommen erfolgreich angegriffen hatte, hat bereits angekündigt, die Entscheidung dem Gericht vorlegen zu wollen.
Wer es mit zertifizierten Unternehmen aus den USA zu tun hat, der sollte jetzt prüfen, ob man die Datenübermittlung und weitere Verarbeitungen auf den Angemessenheitsbeschluss stützt oder weiter auf Standardvertragsklauseln. Im letzteren Fall muss man immer noch ein positives TIA abgeschlossen haben. Zudem müssen die Einwilligungskonzepte für die Datenübermittlung in Drittländer geprüft werden. Hier gehören einmal mehr die Cookie-Texte auf den Prüfstand und alle Dokumente, auf die sich die Änderungen auswirken können.
Bild: Tim Mossholder (Pexels, Pexels Lizenz)
X
