Worum geht es beim EU-U.S. Data Privacy Framework?
Die Europäische Kommission hat dem EU-U.S. Data Privacy Framework (kurz: DPF) am 10. Juli 2023 durch einen Angemessenheitsbeschluss ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten in die USA attestiert. Das bedeutet, dass auf Basis dieses Angemessenheitsbeschlusses ab sofort personenbezogene Daten aus der EU bzw. dem EWR (wieder) rechtssicher in die USA übermittelt werden dürfen. Allerdings gilt der Angemessenheitsbeschluss nicht für alle Organisationen in den USA, sondern nur für solche, die sich den Vorgaben des EU-U.S. Data Privacy Framework unterwerfen. Das EU-U.S. Data Privacy Framework kann man sich damit als Mini-DSGVO vorstellen, der sich U.S.-Organisationen freiwillig unterwerfen können. Diese „Unterwerfung“ erfolgt über eine Selbstzertifizierung der U.S.-Organisationen. Die maßgeblichen Anforderungen lassen sich hier einsehen. Über diesen Mechanismus ist dann nach Auffassung der Europäischen Kommission ein Schutzniveau erreicht, das im Wesentlichen dem der EU entspricht.
Historie des EU-U.S. Data Privacy Framework
Einen solchen Angemessenheitsbeschluss gab es im Hinblick auf die USA bereits bezüglich des Safe-Harbor-Abkommens aus dem Jahr 2000 sowie des EU-U.S. Privacy Shield-Abkommens aus dem Jahr 2016. Der Europäische Gerichtshof (EuGH) hat beide Angemessenheitsbeschlüsse in seinen Urteilen „Schrems I“ vom 06. Oktober 2015 und „Schrems II“ vom 16. Juli 2020 für ungültig erklärt. Der EuGH kam in beiden Entscheidungen zu dem Ergebnis, dass die auf U.S.-Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das erforderliche Maß beschränkt wurden. Betroffene Personen, die nicht U.S.-Staatsbürger waren, hatten zudem keinerlei gerichtlich durchsetzbare Datenschutzrechte. Ferner stellte der EuGH fest, dass die vom Privacy Shield vorgesehene Ombudsperson nicht unabhängig sei und keine verbindlichen Entscheidungen gegenüber U.S.-Nachrichtendiensten erlassen könnte.
Wie funktioniert das EU-U.S. Data Privacy Framework?
Genau wie seine Vorgänger ist das neue EU-U.S. Data Privacy Framework von einer Selbstzertifizierung der U.S.-Organisationen abhängig. Das bedeutet, die U.S.-Organisationen können ihre Zertifizierung ohne Überprüfung durch eine Behörde selbstständig vornehmen. Hierzu wird online ein Formular ausgefüllt und mit einer Verlinkung zur Datenschutzinformation der eigenen Webseite hochgeladen. Die Verwaltung und Überwachung der Zertifizierung obliegt dem U.S.-Handelsministerium, dem Department of Commerce (DoC). Die Zertifizierung erfolgt über die Website des DoC. Dort können auch alle zertifizierten Organisationen eingesehen werden.
Die Anforderungen des EU-U.S. Data Privacy Frameworks entsprechen im Wesentlichen den Grundsätzen, die bereits für das Privacy Shield entwickelt wurden. Alle Organisationen, die sich bereits unter dem Privacy Shield zertifiziert haben, brauchen sich damit nur dem EU-U.S. Data Privacy Framework unterwerfen und ihre Datenschutzinformationen bis spätestens 10. Oktober 2023 entsprechend anpassen. Eine neue Zertifizierung ist für diese Organisationen nicht erforderlich und der Angemessenheitsbeschluss gilt für diese Organisationen ab sofort. Die Selbstzertifizierung muss von diesen, und auch allen sich neu zertifizierenden, Organisationen jährlich wiederholt werden. Organisationen, bei denen festgestellt wird, dass sie die Grundsätze dauerhaft nicht einhalten, werden von der EU-U.S. Data Privacy Framework Liste gestrichen und müssen die im Rahmen der EU-U.S. Data Privacy Framework erhaltenen personenbezogenen Daten löschen.
Was ist wirklich neu am EU-U.S. Data Privacy Framework?
Das klingt insgesamt nach altem Wein in neuen Schläuchen. Was ist also wirklich „neu“? Der Angemessenheitsbeschluss sieht neue verbindliche Schutzmaßnahmen vor, um die vom EuGH geäußerten Bedenken auszuräumen. Dazu gehören Beschränkungen, die sicherstellen sollen, dass die Aktivitäten der U.S.-Nachrichtendienste zur Verfolgung bestimmter nationaler Sicherheitsziele notwendig und verhältnismäßig sind. Hier ist insbesondere die Zusicherung des U.S.-Präsidenten Joe Biden in der Durchführungsverordnung Executive Order 14086 zu nennen, über die Zugriffe auf personenbezogene Daten von Personen in der EU durch U.S.-Nachrichtendienste limitiert werden (d.h. Prüfung der „Angemessenheit“ der Zugriffe, wobei hier Max Schremms kritisiert, dass „Angemessenheit“ völlig anders und viel weniger restriktiv als unter der DSGVO definiert wird). In der Executive Order 14086 ist auch geregelt, dass Personen aus der EU über eine europäische Aufsichtsbehörde zunächst den Civil Liberties Protection Officer (CLPO), welcher beim Office of the Director of National Intelligence angesiedelt ist, anrufen können und wenn dies erfolglos bleibt in einem weiteren Schritt ein Datenschutzprüfungsgericht, den Data Protection Review Court (DPRC), einschalten können. Erforderlichenfalls kann der DPRC die zuständigen Nachrichtendienste anweisen, Abhilfemaßnahmen zu ergreifen, einschließlich der Löschung von Daten, der Beendigung der Verarbeitung und einer Änderung der Erfassungspraktiken.
Bringt das neue EU-U.S. Data Privacy Framework Rechtssicherheit?
Es bleibt abzuwarten, ob das EU-U.S. Data Privacy Framework einer Überprüfung des EuGH standhalten oder ob der nunmehr dritte Angemessenheitsbeschluss – getreu dem Sprichwort „alter Wein in neuen Schläuchen“ – scheitern wird. Max Schrems, der die Rechtmäßigkeit des Safe-Harbour-Abkommens und des EU-U.S. Privacy-Shield-Abkommens erfolgreich vor dem EuGH angefochten hat, kündigte bereits an, dass er gegen den neuen Angemessenheitsbeschluss gerichtlich vorgehen wird. Die Klage könnte sich zwar über mehrere Jahre ziehen, allerdings – so die Erklärung von Max Schrems und seiner Organisation („noyb“) – könnte der Streit bereits Ende 2023 bzw. Anfang 2024 von einem nationalen Gericht dem EuGH vorgelegt werden. Der EuGH hätte dann die Möglichkeit, das EU-U.S. Data Privacy Framework für die Dauer des Verfahrens auszusetzen. Auch die in 2024 in den USA anstehenden Präsidentschaftswahlen könnten für den Angemessenheitsbeschluss zur Belastungsprobe werden, denn dieser stützt sich weitgehend auf eine von U.S.-Präsident Joe Biden erlassene Executive Order. Werden die darin enthaltenen Zusicherungen nicht oder nicht mehr eingehalten, wäre die Europäische Kommission im Rahmen ihrer regelmäßigen Überprüfung selbst zur Aufhebung gezwungen.
Was bedeutet das EU-U.S. Data Privacy Framework für europäische Organisationen, die personenbezogene Daten in die USA übermitteln?
Zunächst besteht eine nicht unerhebliche Wahrscheinlichkeit, dass das EU-U.S. Data Privacy Framework tatsächlich scheitert. Insofern empfehlen wir wie folgt vorzugehen:
Checkliste:
- Setzen Sie weiterhin stringent auf den Abschluss von EU-Standarddatenschutzklauseln mit U.S.-Organisationen.
- Prüfen Sie, ob U.S.-Organisationen unter dem EU-U.S. Data Privacy Framework zertifiziert sind, siehe Liste unter dataprivacyframework.gov – dann reicht in der von den Standarddatenschutzklauseln geforderten Folgenabschätzungen für Datentransfers (Transfer Impact Assessment – TIA) im Wesentlichen der Verweis auf das EU-U.S. Data Privacy Framework und die Zertifizierung der entsprechenden Organisation. Haben Sie auch alle Unterauftragnehmer im Blick und prüfen Sie, ob auch diese zertifiziert sind.
- Ist eine U.S.-Organisation nicht unter dem EU-U.S. Data Privacy Framework zertifiziert, können Sie im Rahmen des für den Abschluss von Standarddatenschutzklauseln notwendigen Transfer Impact Assessment (TIA) trotzdem auf die mit dem EU-U.S. Data Privacy Framework einhergehenden Rechtsänderungen des U.S.-Rechts (Limitierung der Zugriffe auf personenbezogene Daten von Personen in der EU durch U.S.-Nachrichtendienste, Einrichtung eines Civil Liberties Protection Officers und eines Data Protection Review Courts) verweisen. Unseres Erachtens macht es aber einen Unterschied, ob sich (1) eine U.S.-Organisation zertifizieren lassen könnte, es aber nicht tut oder (2) nicht berechtigt ist, am EU-U.S. Data Privacy Framework teilzunehmen. In ersterem Fall müssten Sie im Rahmen der TIA sehr genau begründen, warum eine Teilnahme nicht erfolgt und ein Datentransfer trotzdem angemessen ist. Hinweis zu (2): Für eine Berechtigung zur Selbstzertifizierung muss eine in den USA ansässige Organisation den Ermittlungs- und Durchsetzungsbefugnissen der Federal Trade Commission (FTC) oder des Department of Transportation (DoT) unterliegen. Das bedeutet, dass beispielsweise gemeinnützige Organisationen, Banken, Versicherungsgesellschaften und Anbieter von Telekommunikationsdiensten (in Bezug auf Tätigkeiten als Netzbetreiber) nicht unter die Zuständigkeit der FTC oder des DoT fallen und sich daher nicht unter dem EU-U.S. Data Privacy Framework selbstzertifizieren können.
- Behalten Sie die Übersicht! Datenverarbeitungsprozesse, die mit einem Datentransfer in die USA verbunden sind, sollten im Verzeichnis der Verarbeitungstätigkeiten als solche deutlich kenntlich gemacht werden. Dann kann auf eine Änderung der Rechtslage, z.B. wenn der EuGH das EU-U.S. Data Privacy Framework aussetzt, schnell reagiert werden.
- Aktualisieren Sie Ihre Datenschutzinformationen, insoweit Sie auf das EU-U.S. Data Privacy Framework setzen. Nennen sie die Zertifizierung der U.S.-Organisation und weisen Sie auf die entsprechenden Rechtsbehelfe hin.
Wenn Sie Fragen haben oder Beratung zu internationalen Datentransfers benötigen, können Sie sich gerne an uns wenden. Wir helfen Ihnen gerne, die für Ihre Organisation optimale Lösung zu finden.