Am Montag, 10.07.2023 hat die Europäische Kommission den Nachfolger des „EU-US Privacy Shields“ dem EU-U.S. Data Privacy Framework ein angemessenes Schutzniveau attestiert und damit den Weg für die Datenübermittlung in die USA erleichtert. Wir diskutieren in diesem Blogartikel die Unterschiede des neuen Frameworks zu vergangenen Abkommen wie dem Safe Habour Abkommen sowie dem Privacy Shield Abkommen und vor welchen Herausforderungen das neue EU-U.S. Data Privacy Framework stehen könnte.
Neuer Angemessenheitsbeschluss zur Datenübermittlung in die USA
Durch den neuen Angemessenheitsbeschluss wird die Datenübermittlung zwischen Organisationen der Europäischen Union sowie der USA erneut geregelt. Insbesondere personenbezogene Daten aus der EU können somit wieder in die USA übermittelt werden, ohne zusätzliche Maßnahmen. Voraussetzung hierfür ist, dass die entsprechenden Organisationen nach dem EU-U.S. Data Privacy Framework zertifiziert sind. Dies lässt sich anhand einer Liste, welche das U.S. Department of Commerce veröffentlichte, überprüfen.
Eine Reihe von ähnlichen Abkommen gab es auch schon in der Vergangenheit. Daher werden sich Kritiker verständlicherweise die Frage stellen, wie sie Ihre Rechte und Beschwerden bzgl. der Datenübermittlung in die USA vor Gerichten, im Falle eines Datenschutzvorfalls, geltend machen können. Erfreulicherweise hat die Europäische Kommission auch diesen Umstand mitberücksichtigt und dafür Sorge getragen, dass mit dem Inkrafttreten des EU-U.S. Data Privacy Frameworks zugleich ein neues Gericht geschaffen wird, das über die EU-Daten wachen wird. Dadurch soll gewährleistet werden, dass die Einhaltung von Schutzmaßnahmen sowohl auf der europäischen als auch auf der U.S. amerikanischen Seite eingehalten werden.
Das Data Privacy Framework soll aber nicht nur mehr Rechtssicherheit bieten, sondern auch neue Möglichkeiten eröffnen in der digitalen Welt. Diese wächst nämlich digital immer enger zusammen. Es ist daher schlichtweg unvermeidbar den digitalen Wandel sowie das Wachstum über Ländergrenzen hinweg zu trennen bzw. aufzuhalten. Gerade mit Blick auf die rasanten Errungenschaften im Bereich der künstlichen Intelligenz, ist davon auszugehen, dass auch künftig der Austausch von Daten weiter zunehmen wird.
Kritik von Datenschützern
Berechtigterweise werden sich Datenschützer und Kritiker jetzt die Fragen stellen,
- was macht das Data Privacy Framework im Gegensatz zum Privacy Shield anders?
- ist es wieder nur eine vorübergehende Lösung bis Max Schrems und Konsorten wieder rechtliche Lücken entdecken oder haben wir nun endgültig eine ordnungsgemäße solide Grundlage für die Datenübermittlung zwischen der EU und der USA vorliegen?
- welche Auswirkungen hat dieses Abkommen nun auf derzeitige Prozesse in Unternehmen und was müssen Datenschützer künftig beachten?
Hierzu erscheint es sinnvoll, sich noch einmal die einzelnen Abkommen vor Augen zu führen, um die Entwickelungen und Zusammenhänge besser nachvollziehen zu können.
Die Abkommen zwischen der EU und den USA: Ein Überblick
Safe Harbour Abkommen
Das Safe-Harbour-Abkommen ist ein Beschluss der Europäischen Kommission aus 2000. Sinn und Zweck des Abkommens waren, dass Unternehmen rechtssicher personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der EU in die USA übermitteln können.
Dieses Abkommen wurde jedoch im Nachhinein durch den (EuGH) durch das Schrems-I-Urteil am 6. Oktober 2015 für ungültig erklärt worden. Begründet wurde dies damit, dass das Safe-Harbor-Abkommen ins Leere laufe, da die US-amerikanischen Unternehmen jederzeit und ohne Einschränkung dazu verpflichtet seien die Schutzregeln nicht zu beachten und personenbezogene Daten an US-amerikanische Sicherheitsbehörden herauszugeben.
Data Privacy Shield
Aufgrund des aufgehobenen Safe Harbor Abkommens, fehlte fortan die Rechtssicherheit für die Datenübermittlung in die USA. Daher wurde am 12.07.2016 das EU-US Data Privacy Shield durch die EU-Kommission beschlossen. Das Data Privacy Shield gab einen neuen Rahmen zum Schutz der Grundrechte von US- und EU Bürgern vor. Dadurch werden die Betroffenenrechte bei der Datenübermittlung zwischen der EU und der USA hinreichend gewahrt.
Das Privacy Shield hatte strengere Auflagen im Vergleich zum Safe-Harbor-Abkommen. So mussten beispielsweise Datenverarbeitungen durch das US-Handelsministerium regelmäßig geprüft und verbessert werden. Ein Verstoß gegen die Vorschriften konnte nicht nur zu Sanktionen, sondern auch zu einer Streichung bzw. Löschung aus der Liste von zertifizierten Unternehmen zufolge haben, die für den transatlantischen Datenaustausch als geeignet deklariert waren.
Es wurden auch in Bezug auf die Durchsetzbarkeit von Rechten und Pflichten strengere Regelungen vorgesehen. Insbesondere die neuen Transparenzpflichten stützten dies, wodurch US-Unternehmen bei einem Datenzugriff durch US-Behörden, diesen Zugriff gegenüber Partnern aus der EU offenlegen mussten. Darüber hinaus wurde auch die sog. Sammelerhebung von Daten weitestgehend auf ein paar Ausnahmefälle beschränkt.
Bedauerlicherweise wurde auch das Data Privacy Shield durch das sog. Schrems-II-Urteil für ungültig erklärt. Begründet wurde die Entscheidung damals damit, dass die amerikanischen Behörden nach dem US-Recht auf europäische Daten zugreifen durften, sofern sie aus der EU in die USA übermittelt worden waren. Zudem waren die amerikanischen Überwachungsprogramme nicht auf das erforderliche Maß begrenzt.
Somit ließ sich sagen, dass die EU-Kommission zwar das Data Privacy Shield für ordnungsgemäß hielt, der EuGH dem aber widersprach mit der Begründung, dass der Schutz der Daten nicht angemessen gewährleistet werden könne.
Das neue EU-U.S. Data Privacy Framework
Der Datenschutzaktivist Max Schrems hat bereits am Tag der Verkündung des EU-U.S. Data Privacy Frameworks seine Meinung kundgetan und bereits angedeutet, dass der Europäischen Gerichtshof auch dieses Abkommen möglicherweise für ungültig erklären könnte. Er begründet seine Annahme damit, dass das neue EU-U.S. Data Privacy Framework in Wirklichkeit eine Kopie des vorherigen Data Privacy Shields sei.
Er führt seine Begründung damit weiter aus, dass beim Data Privacy Framework ebenfalls Probleme mit der FISA 702 bestünden und dadurch lediglich US-Bürger verfassungsmäßige Rechte haben und nicht grundlos überwacht werden dürfen. Dementsprechend würde dies bedeuten, dass EU-Bürger nicht dieselben verfassungsmäßigen Rechte haben und überwacht werden dürften. Insbesondere erscheint dieser Umstand als problematisch, da durch die Datenübermittlung in die USA die Behörden diese Regelungslücke verstärkter ausnutzen könnten.
Die FISA 702 wurde bereits damals von dem ehemaligen Geheimdienstmitarbeiter und Whistleblower Edwards Snowden kritisiert. Problematisch fand Snowden schon damals, dass die FISA 702 US-Behörden ermächtigte ohne konkreten Verdacht oder einer richterlichen Genehmigung Überwachungen durchzuführen. Besonders kritisch wurde hervorgehoben, dass sich dies nicht nur auf Straftaten oder Terrorismus bezog, sondern auch die Spionage von Partnerländern und deren Bürger aus der EU umfasste. Dementsprechend rechnet Schrems mit weiteren Auseinandersetzungen vor dem Europäischen Gerichtshof.
EU-U.S. Data Privacy Framework - ein Lichtblick für unsere Datenschützer?
Zusammenfassend ist das EU-U.S. Data Privacy Framework ein großer Schritt Richtung Rechtssicherheit sowohl für US-Unternehmen als auch für EU-Unternehmen und deren Verbraucher. Ein zusätzliches Gericht, das speziell für Streitigkeiten im Zusammenhang mit dem Data Privacy Framework verantwortlich ist, wird künftig Rechtsstreitigkeiten zeitnah und einheitlich lösen können. Das Ganze schafft nicht nur Vertrauen aufseiten der Unternehmen, sondern auch auf Seiten der Verbraucher. Letztlich werden EU-Bürger und US-Bürger dieselben Rechte und Pflichten in Bezug auf den Datenschutz zugestanden.
Trotz all dieser erfreulichen Fortschritte und Meilensteine, dürfen die Stimmen der Kritiker, allen voran die von Schrems nicht totgeschwiegen werden. Rechtsstreitigkeiten werden sich bzgl. des EU-U.S. Data Privacy Framework wohl kaum vermeiden lassen aufgrund der inhaltlichen Ähnlichkeit zu den vorherigen Abkommen. Die FISA 702 ist hier das hauptsächliche Problem. Sie verstößt einerseits gegen den vierten Verfassungszusatz in den USA und zugleich gegen Artikel 7, 8 sowie 47 der EU-Grundrechtecharte.
| Bildquelle: Von artjazz | DATEI NR.: 77960083
Fazit
Die künftigen Entwicklungen werden spannend sein, da die FISA 702 nur bis Ende 2023 gültig ist bzw. noch einmal für Ihre Gültigkeit verlängert werden müsste. Somit könnten die USA die Verlängerung als Anlass nehmen und die FISA 702 entsprechend anpassen, um die Bestandsfähigkeit des neu geschlossenen Data Privacy Frameworks zu schützen vor den Gerichten.
Gerade mit Blick auf die derzeitigen Geschehnisse in der Welt wie beispielsweise Kriege, Terrorismus, Spionagevorfälle sowie Flüchtlingskrisen, werden die USA wahrscheinlich den Sicherheitsaspekt höher bewerten als die Freiheiten der EU-Bürger bzgl. personenbezogener Daten, sodass eine Reform der FISA 702 ausbleiben könnte.
Daher sollten sich europäische Unternehmen vorerst nicht auf das Data Privacy Framework verlassen, sondern nach wie vor ordnungsgemäße Standardvertragsklauseln mit zusätzlichen Sicherheitsvorkehrungen bzw. Prüfungen vorsehen. Es bleibt spannend, ob Max Schrems und Konsorten auch dieses Abkommen vor den EuGH bringen werden.
Suchen Sie Experten im Bereich Datenschutz oder einen externen Datenschutzbeauftragten? Unsere Coaches von itsecuritycoach stehen Ihnen in allen Belangen rund um Datenschutz zur Seite. Kontaktieren Sie uns und vereinbaren Sie ein erstes Beratungsgespräch.
Quellen:
https://noyb.eu/de/european-commission-gives-eu-us-data-transfers-third-round-cjeu
https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752
Data Privacy Framework: EU und USA haben einen neuen Datenpakt – DER SPIEGEL
