Nachdem das „Safe Harbour“ und das „Privacy Shield‘‘ vor dem Europäischem Gerichtshof (EuGH) jeweils scheiterten, soll nun das ,,EU-U.S. Data Privacy Framework‘‘ es richten. Das neue Datenschutzabkommen mit den USA ist am 11. Juli mit sofortiger Wirkung in Kraft getreten. Bundeskanzler Stolz hatte die Präsidentin der Europäischen Kommission Ursula von der Leyen diesen Meilenstein in Sachen Datenschutz verkündet. Doch der Datenschützer Max Schrems (Maximilian „Max“ Schrems ist ein österreichischer Jurist, Autor und Datenschutzaktivist) hat schon die nächste Klage angekündigt.
Nach drei Jahren des Wartens ist am 11. Juli 2023 mit dem EU-US Data Privacy Framework ein neues Datenschutzabkommen zwischen der Europäischen Union (EU) und den USA in Kraft getreten. Das neue Abkommen soll sicherstellen, dass die Daten von Europäern in den USA ein vergleichbares Schutzniveau genießen wie in der EU. Die beiden Vorgängerabkommen Safe Harbor und Privacy Shield wurden jeweils vom EuGH für nichtig erklärt. Bereits im Oktober 2022 hatte Präsident Biden ein einschlägiges Dekret unterzeichnet.
Das Abkommen bildet die Grundlage für einen Angemessenheitsbeschluss der Europäischen Kommission gem. Art. 45 Abs. 3 Datenschutzgrundverordnung (DS-GVO) von Juni 2023. Mit solchen Angemessenheitsbeschlüssen kann die Kommission feststellen, dass ein Land ein ,,angemessenes Schutzniveau‘‘ für den Datentransfer bietet. Das bedeutet, dass der Schutz personenbezogener Daten dem Schutz in der EU entspricht. Solche Beschlüsse haben zur Folge, dass personenbezogene Daten aus der EU in ein Drittland übermittelt werden können, ohne dass weitere Schutzmaßnahmen erforderlich sind.
Ein solcher Beschluss ist für die Wirtschaft von großer Bedeutung. Denn wenn er für ein bestimmtes Land vorliegt, dürfen Unternehmen personenbezogene Daten dorthin übermitteln und z.B. amerikanische Clouds nutzen. Nach Art. 44ff DS-GVO ist die Übermittlung personenbezogener Daten in Drittländer nämlich ohne einen solchen Beschluss nur zulässig, wenn bestimmte Voraussetzungen im Einzelfall erfüllt sind. Der Angemessenheitsbeschluss ist daher der einfachste und auch rechtlich sicherste Weg für den Datentransfer.
Zu beachten ist allerdings, dass die Angemessenheitsentscheidung immer nur dann greift, wenn das US-Unternehmen, an das personenbezogene Daten übermittelt werden sollen, über eine gültige Zertifizierung nach dem EU-U.S. Data Privacy Framework verfügt. Dafür müssen sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten, etwa die Pflichten, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind oder den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden. Wie viele U.S. Unternehmen eine solche Zertifizierung nach dem neuen Datenschutzabkommen wirklich beantragen, bleibt abzuwarten.
Der österreichische Jurist Max Schrems hat bereits angekündigt, auch gegen das neue Abkommen wieder eine Klage einzulegen. Der Inhaber der Datenschutzorganisation „Noyb“ hatte auch schon gegen Safe Harbor und Privacy Shield geklagt und vor dem EuGH Recht bekommen. Somit hatte damals der EuGH die beiden Abkommen gekippt (Urt. v. 06.10.2015, Az. C-362/14 – „Schrems I“; Urt. v. 16.07.2020, Az. C 311/18 – „Schrems II“). Das Problem: Die USA hätten kein dem europäischen vergleichbares Datenschutzniveau. US-Unternehmen seien nach US-amerikanischen Gesetzen verpflichtet. So darf den Geheimdienste den Zugriff auf gespeicherte Daten gewährt werden, was auch Daten von Europäern gespeichert wurden.
Die Folge des zweiten EuGH-Urteils war, dass es seit 2020 wieder keine gesicherte rechtliche Grundlage für Datenübermittlungen in die USA bestand. Unternehmen waren daher auf den Abschluss sogenannter „Standardvertragsklauseln“ angewiesen. Dabei handelt es sich um von der Europäischen Kommission verabschiedete Vertragsmuster, die Datenexporteure beim Transfer von Daten in Drittstaaten abschließen mussten. Sie legten vertraglich fest, dass auch der Datenimporteur das europäische Datenschutzniveau halten muss. Da die Importeure in den USA dies aber – eben wegen der Überwachungsbefugnisse der US-Behörden – nicht uneingeschränkt zusichern können, herrschte für sie in den letzten Jahren große Rechtsunsicherheiten.
Diese bisherigen datenschutzrechtlichen Bedenken will nun das neue Abkommen mit folgenden Schutzmechanismen für die personenbezogenen Daten europäischer Bürger entkräften:
Konkret soll der Zugriff auf personenbezogene Daten durch US-Nachrichtendienste nur erfolgen, wenn dies zur Gewährleistung der nationalen Sicherheit notwendig und verhältnismäßig ist.
Darüber hinaus steht EU-Bürgern ein Rechtsbehelfsverfahren zur Verfügung, mit dem sie sich gegen die Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste wehren können. Für die gerichtliche Überprüfung wird ein neuer Data Protection Review Court (DPRC) eingerichtet. Das Gericht prüft Beschwerden unabhängig und kann verbindliche Abhilfemaßnahmen anordnen. So kann das Gericht beispielsweise US-Nachrichtendienste dazu verpflichten, bestimmte Daten zu löschen, wenn es Verstöße gegen die Garantien des Data Framework feststellt.
Schließlich soll auch regelmäßig überprüft werden, ob die Garantien des Datenschutzabkommens tatsächlich eingehalten und umgesetzt werden. Die erste Überprüfung soll bereits binnen einen Jahres nach Inkrafttreten des Abkommens stattfinden.
Die von den Vereinigten Staaten eingeführten Garantien gelten darüber hinaus auch für die Übermittlung von Daten unter Verwendung anderer Instrumente wie Standardvertragsklauseln und verbindliche unternehmensinterne Vorschriften.
Seit dem Inkrafttreten des Abkommens wird bereits Kritik am neuen Datenschutzabkommen laut: Max Schrems hat bereits angekündigt, auch gegen das neue Abkommen zu klagen. Dieser lässt auf seinem Twitter-Account bereits verlauten, dass das EU-U.S. Data Privacy Framework nur Safe Harbor 3.0 sei. Sowohl er als auch die Datenschutzbehörde Baden-Württemberg kritisierten, dass die USA dem Wort “verhältnismäßig“ eine andere Bedeutung beimessen würden als das europäische Recht. In wesentlichen Teilen sei es eine Kopie der alten Vorschriften. Schon bei den ersten veröffentlichten Plänen zu dem neuen Abkommen hatte der Aktivist insbesondere die fehlende Unabhängigkeit des im Beschwerdeverfahren vorgesehenen Gerichts kritisiert.
Zusammenfassend lässt sich feststellen, dass mit dem EU-U.S. Data Privacy Framework für alle EU-Unternehmen, die US-Dienste in Anspruch nehmen und dabei personenbezogene Daten in die USA übermitteln, zunächst eine deutliche Erleichterung eingetreten ist. Dies ist aus ökonomischer Sicht zu begrüßen. Fraglich ist jedoch, ob das Datenschutzabkommen hält, was es verspricht. So lassen Formulierungen wie ,,der Zugang zu Daten ist auf das für den Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß zu beschränken‘‘ viel Interpretationsspielraum. Ob der Schutz tatsächlich gewährleistet ist, wird daher wohl in vielen Fällen von dem neu eingerichteten Gericht, dem DPRC, zu klären sein. Eine gesunde Skepsis ist angebracht! Es bleibt aber abzuwarten, ob das EU-U.S. Data Privacy Framework wirklich der große Durchbruch im Dauerstreit um den Datenschutz zwischen der EU und den USA ist – oder ob es vom EuGH in einem „Schrems III“-Urteil wieder kassiert werden wird.