Am 10. Juli 2023 trat der neue Datenschutzrahmen (eng. Data Privacy Framework, kurz DPF) zwischen der EU1 und den USA in Kraft. Dies ist der Nachfolger der auf Anregung des Datenschutz-Aktivisten Max Schrems durch den EuGH gekippten Safe Harbour- (2015) und Privacy Shield-Abkommen (2020).
Zweck des DPF ist es, den Datentransfer und den grenzüberschreitenden Handel aus der EU in die USA u.a. bei der Nutzung von US-Tools und Diensten (z.B. Zoom, Mailchimp und Google Analytics) neu anzukurbeln.
Allgemeiner Rechtsrahmen zum Datentransfer
Grundsätzlich gilt laut der seit dem Jahr 2018 geltenden Datenschutzverordnung (DSGVO, eng. GDPR) die Regel, dass personenbezogene Daten von EU-Bürgern nur unter strengen Bedingungen über die Grenzen hinweg übertragen werden dürfen. Innerhalb der EU greift ein geprüfter und einheitlicher Rechtsrahmen (DSGVO).
Ein Datentransfer außerhalb der EU ist nach den geltenden Regelungen nur in Länder erlaubt, in denen ein vergleichbares Schutzniveau für personenbezogene Daten gilt. Die Europäische Kommission prüft die jeweiligen Länder und erlässt sog. Angemessenheitsbeschlüsse, sobald das Schutzniveau gewährleistet ist.
Hintergrund der EU-US Datenschutzregelungen
Datenübertragungen finden auch dann statt, wenn bestimmte Programme und Tools personenbezogene Daten von EU-Bürgern an Server aus dem Ausland weiterleiten. Daher stellte sich nach der im Jahr 2015 erfolgten Änderung des bestehenden Rechtsrahmens in den USA immer wieder die Frage, ob EU-Bürger über ein angemessenes Schutzniveau verfügten, sofern ihre Daten über solche Marketing- und Tracking-Tools auf US-Server landeten. Hintergrund war die Tatsache, dass US-Behörden im Kontext der verschärften Terrorismusbekämpfung das Recht erhielten, auch ohne eine richterliche Anordnung Zugriff auf personenbezogene Daten von US-Gesellschaften und deren Tochterunternehmen zu erhalten. Betroffene Personen wurden hierüber nicht informiert und konnten sich nicht dagegen wehren.
Als zunächst das Schrems I- und anschließend das Schrems II-Urteil des EuGH2 genau diese Themen aufgriffen und sämtliche EU-US-Abkommen für ungültig erklärten, mussten andere Rechtsgrundlagen gefunden werden. Genutzt wurden Standardvertragsklauseln, Binding Corporate Rules und Transfer Impact Assessments (TIA), welche zusätzliche rechtliche, technische oder organisatorische Maßnahmen vorschrieben. Dies erschwerte natürlich den EU-Marktauftritt der US-Anbieter wie Meta, Microsoft, Google u.a. erheblich.
Vor- und Nachteile des DPF
Seit dem 10. Juli 2023 kann auf die obigen Rechtsgrundlagen verzichtet werden, und US-Anbieter haben nunmehr die Möglichkeit, in eine Liste sicherer Unternehmen aufgenommen zu werden. Dies erfolgt über ein Selbstzertifizierungsverfahren des US-Handelsministeriums (Department of Commerce), welches unter www. dataprivacyframework.gov abgerufen werden kann. US-Unternehmen, welche aufgrund der vorherigen Regelungen (Privacy Shield) zertifiziert wurden, wenden ein vereinfachtes Verfahren an. Die Zertifizierung ist jährlich zu erneuern.
Die Anerkennung des DPF in der EU stützt sich auf das von Präsident Joe Biden am 7. Oktober 2022 unterzeichnete Dekret3. Darin sind u.a. verbindliche Garantien für EU-Bürger vorgesehen, die den Zugang der US-Behörden zu den Daten ausschließlich auf das zum Schutz der nationalen Sicherheit erforderliche und verhältnismäßige Maß beschränken. Außerdem wird durch das DPF ein zweistufiges Rechtsbehelfsverfahren geschaffen, welches Beschwerden über den Zugang zu Daten der EU-Bürger durch nationale US-Sicherheitsbehörden untersucht und beilegt.
Dennoch befürchten Kritiker der Datenübertragung in die USA, dass die US-Behörden Begriffe wie „erforderlich“ und „verhältnismäßig“ anders wie die EU-Behörden auslegen und daher den Zugriff vermehrt zulassen. Darüber hinaus wird bzgl. des eingesetzten Rechtsbehelfsverfahrens gerügt, dass es keiner Kontrolle durch ein Gericht (sondern lediglich durch die Regierung) unterworfen sei, sodass keine Garantie für objektive und unabhängige Entscheidungen besteht.
Fazit
Noch ist es zu früh, sich über die einzelnen rechtlichen Aspekte des DPF zu äußern. Die Rechtspraxis wird zeigen, ob dieser dritte Versuch eines stabilen und rechtssicheren Datenschutzrahmens für die Datenübermittlung zwischen den USA und der EU gelingt. Selbst wenn durch viele Beteiligte auf dem EU-US-Markt begrüßt, bleibt abzuwarten, inwiefern diese Regelung dauerhaft erhalten bleibt. Max Schrems hat kurz nach Inkrafttreten angekündigt, dass er eine weitere Anfechtung vor dem EuGH vorbereite.
Bis zu einem nächsten Schrems III-Urteil ist eine einfachere Basis für den grenzüberschreitenden Handel zwischen der EU und den USA geschaffen worden: US-Unternehmen können ein Selbstzertifizierungsverfahren durchgehen und schaffen so einfachere Bedingungen für die Zusammenarbeit mit EU-Unternehmen.
Kontakt und weitere Informationen:
STALFORT Legal. Tax. Audit.
Bukarest – Sibiu – Bistrița
Büro Sibiu:
Tel.: +40 – 269 – 244 996
Fax.: +40 – 269 – 244 997
E-Mail: sibiu@stalfort.ro
www.stalfort.ro