Angemessenheitsbeschluss für Datentransfer EU-USA

Die Europäische Kommission hat am 10. Juli 2023 ihren Angemessenheitsbeschluss für das EU-US Data Privacy Framework angenommen. Die EU erhofft sich durch diesen dritten Versuch, ein Abkommen geschaffen zu haben, das den Datentransfer zwischen der EU und den USA wieder datenschutzkonform möglich macht. Dafür müsste das neue Abkommen, im Gegensatz zu den vorherigen (Safe Harbor und Privacy Shield), ein angemessenes Datenschutzniveau bieten, vergleichbar mit dem der Europäischen Union.

In erster Linie heißt es aber zunächst durchatmen. Die Keyfacts:

• Datentransfers zwischen der EU und den USA werden wieder einfacher möglich! Ähnlich wie beim Privacy Shield zuvor, wird ein Datentransfer zu einem in der Liste sich befindlichen amerikanischen Unternehmen erlaubt.
• Es werden Anpassungen an den Datenschutzinformationen hinsichtlich des EU-US Data Privacy Framework notwendig werden.

Die dreijährige Phase der Rechtsunsicherheit scheint also zunächst beendet – oder etwa doch nicht?

Wozu brauchen wir ein Abkommen zwischen der EU und den USA?

Im Jahr 2013 enthüllte Edward Snowden, dass die US-Regierung, ohne einen konkreten Verdacht oder eine richterliche Genehmigung, Privatpersonen und Unternehmen weltweit ausspionierte. Unter dem Deckmantel der Straftaten- und Terrorbekämpfung wurden auch Daten europäischer Bürgerinnen und Bürger gespeichert und ausgewertet. Seit 1995 gibt es Richtlinien und Abkommen zwischen der EU und den USA, um einen gleichwertigen Schutz für die personenbezogenen Daten zu gewährleisten. Nun also soll ein drittes Abkommen, die personenbezogenen Daten bei einem Datentransfer in die USA schützen.

Änderungen zum letzten Abkommen

Mit dem neuen Datenschutzrahmen werden neue Garantien eingeführt. Eine davon ist der Zugang der US-Nachrichtendienste. Dieser soll auf ein notwendiges und verhältnismäßiges Maß beschränkt werden. Zusätzlich soll ein Gericht zur Datenschutzüberprüfung eingeführt werden. Zum Data Protection Review Court (DPRC) sollen dann auch Einzelpersonen aus der EU Zugang haben. Stellt das Gericht fest, dass gegen die neuen Garantien verstoßen wird, kann Unternehmen angeordnet werden sämtliche Daten zu löschen. Treten Unternehmen dem Datenschutzrahmen bei, verpflichten sie sich automatisch die Datenschutzpflichten einzuhalten. Zu diesen Pflichten gehören beispielsweise die Löschung personenbezogener Daten, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind. Des Weiteren werden für EU-Bürgerinnen und Bürger kostenlose Streitbeilegungsmechanismen und eine Schiedsstelle eingerichtet.

Unsere Einschätzung

Auf den ersten Blick erscheint das neue Abkommen wie ein Schritt in die richtige Richtung. Bei näherem Hinsehen wird allerdings deutlich, dass sich nicht viel zu dem gescheitertem Privacy Shield-Abkommen geändert hat. Zwar wird von der Europäischen Kommission behauptet, das neue Abkommen sei eine große Veränderung, allerdings ändert sich gerade im US-Recht recht wenig. Das Problem heißt weiterhin FISA 702. FISA 702 ist eine Section im US-Überwachungsrecht. In diesem wird die Überwachung von Nicht-US-Bürgerinnen und Bürgern geregelt. Dabei wird die Erhebung von Daten im Übermittlungsstadium geregelt (upstream collection) und zudem die Erhebung der Daten im Ruhestand können durch das sog. PRISM-Programm ermöglicht werden. Genau diese Section FISA 702 wurde auch diesmal wieder nicht verändert, somit haben weiterhin nur US-Bürgerinnen und Bürger verfassungsmäßige Rechte und dürfen nicht ohne Anlass überwacht werden.

Hierzu der österreichische Jurist und durch seine Klagen am EuGH bekannte Max Schrems:

„Man sagt, die Definition von Wahnsinn ist, dass man immer wieder das Gleiche tut und dennoch ein anderes Ergebnis erwartet. Genau wie ‘Privacy Shield’ basiert auch die jüngste Vereinbarung nicht auf materiellen Änderungen, sondern auf kurzfristigem politischen Denken. Wieder einmal scheint die derzeitige Kommission dieses Chaos auf die nächsten Kommission abzuwälzen. FISA 702 muss von den USA noch in diesem Jahr verlängert werden, aber mit der Ankündigung des neuen Abkommens hat die EU jegliches Druckmittel verloren, um eine Reform von FISA 702 zu erreichen. Wir hatten jetzt ‘Harbors’, ‘Umbrellas’, ‘Shields’ und ‘Frameworks’ – aber keine substantielle Änderung des US-Überwachungsrechts. Die Presseerklärungen von heute sind fast eine wortwörtliche Kopie derer von vor 23 Jahren. Die bloße Behauptung, etwas sei “neu”, “robust” oder “wirksam”, reicht vor dem Gerichtshof nicht aus. Wir brauchten eine Änderung des US-Überwachungsrechts, und die gibt es nicht.“

Es ist davon auszugehen, dass auch das neue Abkommen in den nächsten Monaten dem Europäischen Gerichtshof vorgelegt wird. Aus unserer Sicht ist es notwendig, dass Ihre Datenschutzinformationen auf das neue EU-US Data Privacy Framework angepasst werden. Sprechen Sie uns hierzu gerne an!

Ihr WeComply Team.

Weitere Links und Hinweise:

• Angemessenheitsbeschluss zum Datenschutzrahmen EU-USA
• Pressemitteilung zum neuen Angemessenheitsbeschluss