Am 10.07.2023 hat die Europäische Kommission einen neuen Angemessenheitsbeschluss, das EU-US Data Privacy Framework, für Datentransfer in die USA angenommen. Hiernach sollen die Vereinigten Staaten ein angemessenes Datenschutzniveau haben, das mit dem der EU vergleichbar ist.
Wer kann daran teilnehmen?
Unternehmen, die nun am EU-US Data Privacy Framework (nachfolgend: „DPF“) teilnehmen, können auf dieser Grundlage personenbezogene Daten aus der Union in die USA übermitteln. Dazu müssen die amerikanischen Unternehmen sich an bestimmte datenschutzrechtliche Anforderungen halten und sich vom US-Handelsministerium entsprechend zertifizieren lassen. Dies umfasst unter anderem die Verpflichtungen, personenbezogene Daten zu löschen, sobald der für die Verarbeitung zugrundeliegende Zweck entfällt. Daneben ist auch der Schutz der verarbeiteten Daten, wenn diese an Subunternehmen weitergegeben werden, sicherzustellen.
Eine nachhaltige Regelung?
Insgesamt bestehen jedoch auch gegenüber der Wirksamkeit des DPF im Hinblick auf die Rechtsdurchsetzung der betroffenen Personen erhebliche Zweifel. Trotz Nachbesserungsversuchen der US-Regierung haben US-Behörden nach wie vor Zugriffsmöglichkeiten auf personenbezogene Daten von EU-Bürgern, wenn dies im Hinblick auf den Schutz der nationalen Sicherheit „verhältnismäßig“ ist. US-Gerichte können eigenständig darüber entscheiden, wie sie diesen Begriff auslegen, was im Widerspruch zu der Auffassung des Europäischen Gerichtshof steht und letztlich zu einem zu weiten Überwachungsspielraum der US-Behörden führen könnte.
Eine weitere Verbesserung des Datenschutzes war die Einführung des sogenannten Data Protection Review Courts. Damit sollten die Betroffenenrechte der EU-Bürger gestärkt werden. Da der einzelne Betroffene nicht die Möglichkeit hat, Verstöße direkt vor dem Gericht geltend zu machen, ist ein effektiver Rechtsschutz fraglich. So ist dem gerichtlichen Verfahren zunächst eine Kontrollinstanz vorgeschaltet. Dort wird eine Beschwerde zunächst von einem Beamten bearbeitet und erst wenn der Betroffene mit der Beurteilung seines Anliegens nicht zufrieden ist, kann er gegen die behördliche Entscheidung vor dem Data Protection Review Court klagen. Auch dies kann er nicht persönlich und unabhängig tun. Der Betroffene muss die Klage über eine berechtigte Behörde im Inland einreichen und wird im Gerichtsverfahren durch einen vom Gericht bestellten Anwalt vertreten.
Rechtssicherheit mit Haltbarkeitsdatum
Es bleibt abzuwarten, ob das neue DPF wie sein Vorgänger vom Europäischen Gerichtshof kassiert wird. So hat z.B. die Nichtregierungsorganisation um Max Schrems namens „noyb“ nach eigenen Angaben bereits einige rechtliche Optionen vorbereitet, die wohl auch zu einer Aussetzung der Angemessenheitsentscheidung durch den EuGH führen könnten.
Solange dies jedoch noch nicht geschehen ist, ergeben sich für Unternehmen erhebliche Erleichterungen bei der Datenübermittlung in die USA. Ab dem Zeitpunkt der Zertifizierung beim US-Handelsministerium sind für einen Datentransfer in die USA keine erhöhten Anforderungen wie der Abschluss von Standardvertragsklauseln (SCC) oder die Durchführung eines Transfer Impact Assessment (TIA) mehr erforderlich. Mit anderen Worten: Zertifizierte US-Unternehmen können bei der Datenübermittlung genauso behandelt werden wie Unternehmen in der EU.
Das EU-US Data Privacy Framework gibt somit insbesondere kleinen und mittleren Unternehmen ein von der EU-Kommission genehmigtes Instrument für den Datentransfer in die USA an die Hand. Dieses ist auch einfach zu handhaben, da lediglich geprüft werden muss, ob der jeweilige Datenimporteur in der Zertifizierungsliste des US-Handelsministeriums eingetragen ist. Es bleibt daher zu hoffen, dass sowohl die US-Regierung als auch die eigens dafür eingerichteten Stellen in den Vereinigten Staaten das von der EU-Kommission entgegengebrachte Vertrauen und die damit verbundenen Verpflichtungen ernst nehmen, so dass das DPF Bestand hat und ein angemessenes Schutzniveau für Gegenwart und Zukunft gewährleistet ist.
Was heißt das in Zukunft?
Trotz des neuen Frameworks sollten Unternehmen bedenken, dass ein Rückgriff auf die altbewährten Mittel wie Standardvertragsklauseln für die Datenübermittlung in die Vereinigten Staaten nicht unwahrscheinlich ist.
Unternehmen sind daher gut beraten, zumindest die bisherigen Übermittlungsinstrumente für einen Datentransfer in die USA in der Hinterhand zu behalten.
Die Pressemitteilung der EU-Kommission können Sie hier nachlesen:
https://ec.europa.eu/commission/presscorner/detail/en/IP_23_3721
Bildnachweis für diesen Beitrag © blende11.photo stock. adobe. com