Das Wichtigste in Kürze
- Der neue Angemessenheitsbeschluss vereinfacht Datentransfers in die USA für zertifizierte Unternehmen.
- Neue Garantien, wie die Beschränkung des Zugriffs von US-Nachrichtendiensten und ein Beschwerdeverfahren, wurden eingeführt.
- Die Rechtssicherheit ist potenziell temporär, abhängig von zukünftigen politischen Entwicklungen und EuGH-Entscheidungen.
- US-Unternehmen müssen sich selbst zertifizieren und werden in einer öffentlichen Datenbank geführt.
- Trotz Verbesserungen bleibt der Einsatz von US-Anbietern ein "Betriebsrisiko" für viele Unternehmen.
Datenschutzrahmen EU-USA: Der neue Angemessenheitsbeschluss ist da
Viele haben es bereits vernommen: Es geht um Datenschutz! Die Europäische Kommission hat endlich den neuen Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. Dieser Beschluss markiert einen bedeutenden Schritt hin zu einem sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA.
Mit der Annahme wird nun offiziell festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Diese Daten können fortan im Rahmen des neuen Beschlusses aus der EU an teilnehmende US-Unternehmen übermittelt werden. Zusätzliche Datenschutzgarantien sind hierfür nicht mehr erforderlich, was den Prozess erheblich vereinfacht.
Der neue Datenschutzrahmen EU-USA bringt darüber hinaus wesentliche Verbesserungen im Vergleich zu früheren Mechanismen mit sich. Es werden neue, verbindliche Garantien eingeführt, die alle vom Europäischen Gerichtshof geäußerten Bedenken berücksichtigen. So wird der Zugang von US-Nachrichtendiensten zu EU-Daten auf das notwendige und verhältnismäßige Maß beschränkt.
Zusätzlich wird ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen. EU-Bürger erhalten Zugang zu diesem Gericht, um ihre Rechte besser durchsetzen zu können.
Nun bleibt abzuwarten: Wie lange wird es dauern, bis sich der Europäische Gerichtshof (EuGH) mit einer Klage nach dem Muster von „Schrems III“ beschäftigen muss? Im Ernst: Dieser Beschluss ist ein wichtiger Schritt. Er soll Bürgern Vertrauen in die Sicherheit ihrer Daten geben, die wirtschaftlichen Beziehungen zwischen der EU und den USA vertiefen und gemeinsame Werte stärken.
Das Trans-Atlantic Data Privacy Framework (TADPF) und seine Neuerungen
Das Trans-Atlantic Data Privacy Framework (TADPF) ist mehr als nur eine vertragliche Zusage amerikanischer Unternehmen, angemessenen Datenschutz zu gewährleisten. Im Zuge seiner Implementierung haben die USA die Befugnisse ihrer Geheimdienste hinsichtlich des Zugriffs auf Daten von EU-Bürgern tatsächlich begrenzt. Zugleich wurde die rechtliche Position der Betroffenen gestärkt.
- Verhältnismäßigkeit: US-Geheimdienste müssen nun auch bei EU-Bürgern überprüfen, ob der Zugriff auf deren Daten verhältnismäßig ist.
- Beschwerdeverfahren (erste Ebene): EU-Bürger können eine Beschwerde beim „Civil Liberties Protection Officer“ der US-Geheimdienste einreichen.
- Überprüfungsverfahren (zweite Ebene): Einzelpersonen können die Entscheidung des „Civil Liberties Protection Officer“ vor dem „Data Protection Review Court“ anfechten.
Wesentliche Verbesserungen für EU-Bürger durch die Executive Order
- Verhältnismäßigkeit: US-Geheimdienste müssen nun auch bei EU-Bürgern überprüfen, ob der Zugriff auf deren Daten verhältnismäßig ist.
- Beschwerdeverfahren (erste Ebene): EU-Bürger können eine Beschwerde beim „Civil Liberties Protection Officer“ der US-Geheimdienste einreichen. Diese Person ist dafür verantwortlich, dass die US-Geheimdienste die Privatsphäre und Grundrechte wahren.
- Überprüfungsverfahren (zweite Ebene): Auf der zweiten Ebene haben Einzelpersonen die Möglichkeit, die Entscheidung des „Civil Liberties Protection Officer“ vor dem neu geschaffenen „Data Protection Review Court“ anzufechten.
Ob diese Maßnahmen das Risiko eines Datenmissbrauchs durch US-Geheimdienste ausreichend ausräumen, wird der EuGH zu entscheiden haben. Kritiker der Datentransfers in die USA halten die Zusagen weiterhin für ungenügend.
Wichtige Aspekte des TADPF
Das TADPF erstreckt sich nicht auf die gesamten Vereinigten Staaten. Vielmehr müssen US-Unternehmen ein Selbstzertifizierungsverfahren durchlaufen. Erst danach können sie sich auf den Angemessenheitsbeschluss berufen. Bei Unternehmen mit vielen EU-Nutzern oder Kunden, wie zum Beispiel Meta, Google, Microsoft oder AWS, ist dies zeitnah zu erwarten.
Die zertifizierten US-Unternehmen werden, wie bereits beim Vorgänger „Privacy Shield“, in einer Datenbank geführt. Dort kann nach den jeweiligen Unternehmen gesucht werden. Dabei müssen auch die Angaben zur Reichweite der Zertifizierung unter dem TADPF beachtet werden. So können sich beispielsweise nur bestimmte Unternehmensbereiche auf die Angemessenheit des Datenschutzniveaus verlassen.
Unter der Webadresse https://www.dataprivacyframework.gov/ können offizielle Informationen zum TADPF abgerufen und nach zertifizierten Unternehmen gesucht werden. Hinweis: Stand 10.07.2023 – Bis dato wurden noch keine Unternehmen in die Datenbank eingepflegt.
Fazit
Das TADPF stellt einen wichtigen Schritt zur Rechtssicherheit beim Datentransfer zwischen der EU und den USA dar. Es bietet einen strukturierten und rechtlich anerkannten Mechanismus für die Übermittlung personenbezogener Daten. Dies ist besonders relevant, wenn Dienste von US-Anbietern wie Google, Meta, Microsoft oder Amazon genutzt werden, die personenbezogene Daten verarbeiten.
Allerdings ist es nicht unwahrscheinlich, dass dies nur eine Rechtssicherheit auf Zeit ist. Die Zukunft des Abkommens hängt sowohl von der Datenschutzpolitik des nächsten US-Präsidenten ab als auch davon, ob der EuGH die bisher getroffenen Datenschutzmaßnahmen der USA für ausreichend halten wird.
Für die meisten bedeutet dies, dass der Einsatz von US-Unternehmen vorerst sicherer sein wird. Um sich gegen künftige Unwägbarkeiten zu wappnen, bleibt lediglich der Wechsel zu EU-Anbietern. Da es hier häufig keine adäquaten Alternativen gibt, wird die Frage des Einsatzes von US-Anbietern auch in Zukunft ein „Betriebsrisiko“ vieler Unternehmen, Behörden und anderer Verantwortlichen bleiben.
Für weitere Details kann der 123-seitige Beschluss selbst durchgelesen werden.