EU-Kommission sorgt mit neuem Data Privacy Framework für Kontroversen
Am 10.07.2023 hat die EU-Kommission einen neuen Angemessenheitsbeschluss zum Datenschutzniveau in den Vereinigten Staaten von Amerika erlassen. Dadurch sollen Datenübermittlungen zwischen diesen und der EU im dritten Anlauf (wieder) vereinfacht werden. Dies mag tatsächlich gelungen sein. Ob die neue Rechtsgrundlage aber lange Bestand haben wird, darf bezweifelt werden.
Inhalt
Der neue Angemessenheitsbeschluss
Mit dem Angemessenheitsbeschluss der Kommission wird festgestellt, dass die USA über ein im Vergleich zur EU angemessenes Datenschutzniveau hinsichtlich solcher personenbezogenen Daten verfügen, die aus der EU an die am Datenschutzrahmen EU-USA (sog. Data Privacy Framework) teilnehmenden US-Unternehmen übermittelt werden. Unternehmen können teilnehmen, indem sie sich zur Einhaltung spezifischer Datenschutzgrundsätze verpflichten und zertifizieren lassen.
Das gab es doch schon einmal
Ähnliche Beschlüsse hatte die EU-Kommission bereits in den Jahren 2000 und 2016 erlassen. Zur Jahrtausendwende wurden Datenübermittlungen zwischen den USA und der EU auf Grundlage des sogenannten Safe-Harbor-Abkommens legitimiert. Nachdem der EuGH auf Anstrengungen des Datenschützers Max Schrems dieses Abkommen mit Urteil vom 2015 für nichtig erklärt hatte, folgte als Reaktion der sogenannte Privacy-Shield.
Auch dieser wurde vom EuGH im Jahr 2020 für nichtig erklärt. Dorn im Auge des Gerichts war jeweils hauptsächlich, dass den amerikanischen Behörden in bestimmten Fällen kraft Gesetzes Zugang zu den Daten der EU-Bürger eingeräumt wurde. Insbesondere auf Grundlage des Foreign Intelligence Surveillance Acts (FISA) oder des Cloud Acts waren auch weiterhin Massenüberwachungen möglich.
Die Folgen für Unternehmen
Seitdem war die Rechtslage unklar. Viele Unternehmen setzten in der Zwischenzeit auf die einzig verbliebene Möglichkeit, die Übermittlung über den Abschluss sogenannter EU-Standardvertragsklauseln zu legitimieren. Diese müssen jedoch stets zwischen den Parteien einzeln vereinbart werden. Zudem ist die Überprüfung der Einhaltung dieser Regelungen den Unternehmen kaum bis gar nicht möglich.
Mit dem neuen Data Privacy Framework sollen nun die Bedenken ausgeräumt sein. Dies vor allem dadurch, dass der Zugang von US-Nachrichtendiensten auf Daten von EU-Bürgern auf ein verhältnismäßiges Maß beschränkt sein soll. Zudem wurde ein Gericht zur Datenschutzüberprüfung geschaffen, zu dem auch Einzelpersonen Zugang haben sollen.
Fakt ist, dass die Übermittlung von EU-Daten in die USA für Unternehmen nun wieder mit viel geringerem Aufwand möglich ist. So müssen bei Übermittlungen an Unternehmen, die am Data Privacy Framework teilnehmen, keine zusätzlichen Datenschutzgarantien mehr eingeführt werden. Die Vereinbarung der Standardvertragsklauseln wird in diesen Fällen obsolet.
3. Runde vor dem EuGH absehbar
Der Beschluss sieht sich jedoch auch großer Kritik ausgesetzt. Allen voran der Verein noyb, dessen Vorsitzender Max Schrems bereits die Vorgänger des neuen Frameworks zu Fall brachte, bringt diese deutlich zum Ausdruck. So habe sich am US-Überwachungsrecht substantiell nichts verändert. Vielmehr basiere das neue Data Privacy Framework genau wie das Privacy Shield „nicht auf materiellen Änderungen, sondern auf kurzfristigem politischem Denken.“
Der Verein kündigte deshalb bereits an, das neue Abkommen zeitnah erneut vor den EuGH zu bringen. Voraussetzung dafür ist lediglich ein Unternehmen, das davon Gebrauch macht. Dann stünde der Weg für die Anfechtung frei.
Ob diese auch im dritten Anlauf erfolgreich sein wird, bleibt abzuwarten.
