Drei Jahre ist es her, dass der EuGH das „Privacy Shield“-Abkommen für ungültig erklärt hat. Seitdem herrschte große Rechtsunsicherheit hinsichtlich der Datenübertragung in die USA. Gestern, am 10.7.2023, hat die Europäische Kommission den neuen Angemessenheitsbeschluss, das EU-US Data Privacy Framework, erlassen.
Hintergrund
Am 12.7.2016 trat das sog. „Privacy Shield“-Abkommen in Kraft. Dieser Beschluss der Europäischen Kommission sollte ein angemessenes Datenschutzniveau für die Datenübermittlung in die USA gewährleisten und einen sicheren Rechtsrahmen für Unternehmen schaffen. Der EuGH (Urt. v. 16.7.2020 – C-311/18) erklärte das Abkommen jedoch für ungültig. Er stellte in seinem Urteil klar, dass bei einer Übermittlung personenbezogener Daten in ein Drittland ein Schutzniveau erforderlich sei, das mit dem in der Union vergleichbar ist. Aufgrund der weitreichenden Zugriffmöglichkeiten der US-Sicherheitsbehörden sei in den USA jedoch kein gleichwertiges Schutzniveau gewährleistet. Außerdem eröffne das Abkommen keinen ausreichenden Rechtsschutz für Betroffene.
Rechtsunsicherheit seit EuGH-Urteil zu Privacy Shield
Infolge des EuGH-Urteils herrschte große Rechtsunsicherheit. Ein in der Praxis häufig verwendetes Instrument stellen dabei Garantien gem. Art. 46 DSGVO in Form der EU-Standardvertragsklauseln dar. Unternehmen suchten aus der Datentransferproblematik einen Ausweg und implementierten diese „Vertragsmuster“ innerhalb Ihrer Vertragswerke, um einen Drittstaatentransfers sicherstellen zu können. Allerdings konnten Datenschutzrisiken, bedingt durch die weiten Zugriffsbefugnisse der US-Sicherheitsbehörden, nicht wirksam verhindert werden. Laut EuGH ist im Einzelfall zu prüfen, ob die EU-Standardvertragsklauseln durch weitere Maßnahmen ergänzt werden müssen, damit ein der EU-gleichwertiges Sicherheitsniveau geschaffen wird. Bei einer Datenübermittlung in die USA kann z.B. die Rechtsdurchsetzung/Rechtsmittel durch einen Vertrag zwischen Datenexporteur- und importeur alleinig nicht gewährleistet werden.
EU-US Data Privacy Framework
Vor diesem Hintergrund haben sich nun die Europäische Kommission und die USA auf das sog. „Trans Atlantic Data Privacy Framework“ verständigt. Die Europäische Kommission hat den Angemessenheitsbeschluss am 10.7.2023 angenommen. Darin wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau vergleichbar mit dem der EU für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Ziel dieses Abkommens ist es, den transatlantischen Datentransfer zu fördern und rechtskonform zu gestalten. Zudem soll der Privatsphäre von EU-Bürgern ausreichend Schutz gewährt werden.
Verbindliche Garantien
Die im neuen Abkommen festgelegten Grundsätze verpflichten vor allem die USA und beinhalten neue verbindliche Garantien, um allen vom EuGH geäußerten Bedenken Rechnung zu tragen. Es ist vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist und ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen wird, zu dem Einzelpersonen in der EU Zugang haben. Stellt dieses Gericht beispielsweise fest, dass bei der Datenerhebung gegen die neuen Garantien verstoßen wurde, kann es die Löschung der Daten anordnen. Die neuen Garantien im Bereich des staatlichen Zugriffs auf Daten werden die Pflichten ergänzen, denen US-Unternehmen, die Daten aus der EU einführen, nachkommen müssen.
US-Unternehmen können sich dem Data Privacy Framework anschließen, indem sie sich zur Einhaltung der entsprechenden Datenschutzpflichten verpflichten, z.B. die Pflicht, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden. Vorgesehen sind ebenfalls verschiedene Rechtsbehelfe, falls die Daten der Nutzer von US-Unternehmen nicht ordnungsgemäß behandelt werden. Dazu gehören kostenlose unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle.
Zugriff durch US-Behörden wird beschränkt
Zudem sieht das neue Abkommen verbindliche Garantien vor, um den Zugriff durch US-Sicherheitsbehörden auf Daten zu beschränken, die für die nationale Sicherheit erforderlich sind. Der Zugang ist auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt. Einzelpersonen in der EU werden im Zusammenhang mit der Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren zurückgreifen können, das auch die Befassung eines neu geschaffenen Gerichts zur Datenschutzüberprüfung einschließt. Dieses Gericht soll etwaige Beschwerden unabhängig untersuchen und beilegen, unter anderem durch die Anordnung verbindlicher Abhilfemaßnahmen.
Zudem ist vorgesehen, dass die Funktionsweise des Datenschutzabkommens regelmäßig gemeinsam von der Europäischen Kommission und Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden überprüft werden soll. Die erste Überprüfung soll binnen eines Jahres nach dem Inkrafttreten des erfolgen, um zu ermitteln, ob alle einschlägigen Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.
Unser Tipp: Im Rahmen unserer Legal Products stehen Ihnen umfangreiche Checklisten und Anleitungen rund um das Thema DSGVO zur Verfügung und Sie erhalten Muster-AV-Verträge und Muster-Antwortschreiben. Zudem bietet der Trusted Shops Consent-Manager eine Lösung, um die Einwilligung wirksam einzuholen. Selbstverständlich erhalten Sie umfassenden Support bei der Integration. Ebenfalls enthalten ist ein Update-Service – ergeben sich Gesetzesänderungen oder relevante gerichtliche oder behördliche Entscheidungen, die auch Sie betreffen, aktualisieren wir den Consent-Manager entsprechend und informieren Sie darüber natürlich. Unser Consent-Manager ist in allen Legal Products enthalten. In unserem Legal Enterprise und Legal Ultimate übernehmen wir auch eine außergerichtliche Vertretung bei der Geltendmachung von Unterlassungs- und Aufwendungsersatzansprüchen sowie Schadensersatz-/Schmerzensgeldansprüchen nach der DSGVO (z.B. aufgrund eines nicht erteilten Auskunftsersuchens oder einer unzulässigen Datenübermittlung).
Andrey_Popov/Shutterstock.com
