Stand 08-2023 Data Privacy Framework – Neue Sicherheit für Datenübermittlungen in die USA?

HTML-Link kopieren HTML-Link kopieren (Umbruchschutz) URL kopieren

© beugdesign / Fotolia.com

Am 10. Juli 2023 hat die Europäische Kommission das EU-US Data Privacy Framework erlassen. Dieser sogenannte Angemessenheitsbeschluss stellt fest, dass die Vereinigten Staaten ein angemessenes Datenschutzniveau gewährleisten können.

Hintergrund

Grund für die Zweifel an einem angemessenen Datenschutzniveau sind die in den Vereinigten Staaten gültigen Massenüberwachungsgesetze, die es den Geheimdiensten ermöglichen Ausländer ohne Gerichtsbeschluss zu überwachen. Dies wurde 2013 durch Edward Snowdens Enthüllungen aufgedeckt. Die Befugnisse zur Massenüberwachung wurden nach dem 11. September 2001 zur Terrorismusbekämpfung eingeführt.

Zertifizierte Unternehmen

Der Beschluss erstreckt sich aber nicht auf die gesamten Vereinigten Staaten. US-Unternehmen müssen ein Selbstzertifizierungsverfahren durchlaufen, im Rahmen dessen sie sich verpflichten, bestimmte Datenschutzvorgaben zu erfüllen, um somit ein angemessenes Datenschutzniveau zu gewährleisten. Zertifizierte Unternehmen werden auf der Webseite des Data Privacy Frameworks geführt: https://www.dataprivacyframework.gov/s/participant-search

Kritik trotz Verbesserungen

Jedoch ist fraglich, ob das Ganze auf Dauer Bestand haben wird. Die beiden Vorgänger des Data Privacy Frameworks – „Safe Harbor“ und „Privacy Shield“ – wurden durch zwei Klagen des Datenschutzaktivisten Maximilian Schrems vor dem Europäischen Gerichtshof für unwirksam erklärt (EuGH, 06.10.2015 – C-362/14 “Schrems I” und EuGH, 16.07.2020 – C-311/18 “Schrems II”). Das wesentliche Problem war, dass sich die US-Geheimdienste theoretisch trotzdem über die Vereinbarungen hinwegsetzen konnten.

Um einem „Schrems III“ vorzubeugen, wurden im Rahmen des Frameworks weitreichendere Maßnahmen getroffen:

• Die US-Geheimdienste müssen nun prüfen, ob ein Zugriff auf die Daten von EU-Bürgern verhältnismäßig ist.
• Es gibt einen Rechtsbehelfsmechanismus, im Rahmen dessen Beschwerden eingereicht und überprüft werden können.

Trotzdem wird auch das Data Privacy Framework von Maximilian Schrems scharf kritisiert. Die von ihm gegründete Nichtregierungsorganisation noyb hält die Verbesserungen für nicht stichhaltig und kündigt an, wieder vor den Europäischen Gerichtshof ziehen zu wollen.

Fazit

Eine Übermittlung von personenbezogenen Daten an US-Unternehmen, die unter dem Data Privacy Framework zertifiziert sind, ist vorerst als rechtssicher zu bezeichnen. Wenn das Framework erneut für unwirksam erklärt werden sollte, müssen Unternehmen Ihre Datenübermittlungen wieder hauptsächlich auf die Verwendung der EU-Standardvertragsklauseln stützen. Diese wurden aber ebenso schon in Frage gestellt, da sich US-Unternehmen kaum an die enthaltenen Verpflichtungen halten können. Leider geht mit dem Einsatz von US-Unternehmen immer ein gewisses Restrisiko einher.