Was der dritte Angemessenheitsbeschluss für die USA praktisch bedeutet: EU-US Data Privacy Framework auf dem Prüfstand

Nach fast drei Jahren Arbeit wurde nun am 10.07.2023 ein neuer Angemessenheitsbeschluss für die USA auf Basis des „EU-US Data Privacy Framework“ (DPF) verabschiedet. In diesem Beitrag erfahren Sie, was dies für die Datenübermittlung in die USA bedeutet, welche praktischen Vorteile sich daraus ergeben und ob es möglicherweise erneut vom EuGH überprüft wird.

Die Einführung des neuen Abkommens bringt Vorteile für Unternehmen, die in die USA Daten übermitteln wollen, da sie nun einen klareren Rahmen haben, der ohne zusätzliche Prüfungen auskommt. Dies kann die Geschäftsabläufe erleichtern und Rechtssicherheit schaffen. Da es sich um einen sensiblen Bereich handelt und Datenschutzfragen immer wieder kontrovers diskutiert werden, könnte der EuGH jedochauch dieses Abkommen erneut einer genauen Prüfung unterziehen.

Hintergrund zum neuen Abkommen

Um die Bedeutung und Kritik am neuen transatlantischen Datenschutzabkommen besser zu verstehen, ist ein Blick auf seine Vorgänger notwendig. Das „Safe Harbor“-Abkommen wurde am 26.07.2000 beschlossen (2000/520/EG). Doch es geriet in die Kritik, als Maximilian Schrems im Jahr 2013 eine Beschwerde einreichte. Schrems monierte die Übermittlung von personenbezogenen Daten durch Facebook in die USA, insbesondere aufgrund der Enthüllungen von Edward Snowden über die Massenüberwachung durch US-Geheimdienste.

Als Konsequenz erklärte der EuGH durch das „Schrems I“-Urteil (C-362/14) vom 06.10.2015 den Angemessenheitsbeschluss der EU-Kommission für das „Safe Harbor“-Abkommen im Rahmen eines Vorabentscheidungsverfahrens für ungültig. Der EuGH begründete dies damit, dass die personenbezogenen Daten in den USA nicht ausreichend vor dem Zugriff der Geheimdienste geschützt gewesen seien.

Ungültigkeit des „EU-US Privacy Shield“ Am 12.07.2016 folgte der Angemessenheitsbeschluss zum „EU-US Privacy Shield“ ((EU) 2016/1250), auf dessen Grundlage ein Datentransfer mit entsprechend zertifizierten US-Unternehmen möglich war. Anschließend stützte Facebook seine Datenübermittlungen auf die EU-Standardvertragsklauseln (SCC) und das „EU-US Privacy Shield“. Auch in diesem Fall folgte eine Beschwerde durch Maximilian Schrems, sodass der EuGH nunmehr sowohl zum Datentransfer auf Grundlage der SCC als auch auf Grundlage des „EU-US Privacy Shield“ Stellung nehmen musste. Am 16.07.2020 entschied der EuGH mit dem bekannten „Schrems II“-Urteil (C-311/18), dass die USA kein angemessenes Datenschutzniveau für Datentransfers im Sinne des Art. 45 der Datenschutz-Grundverordnung (DSGVO) böten und erklärte den zum „EU-US Privacy Shield“ gehörigen Angemessenheitsbeschluss für ungültig.

Diesmal stellte der EuGH explizit fest, dass die Gesetze, auf deren Grundlage US-amerikanische Sicherheitsbehörden auf die in die USA übermittelten personenbezogenen Daten zugreifen konnten (etwa FISA 702, E.O. 12333, CLOUD Act), Art. 7 und Art. 8 der EU-Grundrechtecharta (GRCh) unverhältnismäßig beschränkten und so gegen Art. 52 Abs. 1 S. 2 GRCh verstießen. Zum einen werde der Zugriff auf die personenbezogenen Daten von Personen ohne US-amerikanische Staatsbürgerschaft nicht beschränkt und zum anderen würden diesen keine durchsetzbaren Rechte gegen diese Zugriffe gewährt.

Anforderungen für die Verwendung von Standardvertragsklauseln

Zugleich entschied der EuGH, dass bestehende Standardvertragsklauseln weiterhin wirksam blieben. Diese Klauseln dienen gemäß Art. 46 Abs. 1, Abs. 2 lit. c DSGVO als vertragliche Möglichkeit, Daten in Länder außerhalb der EU zu übermitteln, für die kein Angemessenheitsbeschluss existiert oder keine Ausnahme gemäß Art. 49 DSGVO greift. Allerdings stellte der EuGH fest, dass die Standardvertragsklauseln allein nicht ausreichten, um die Datenschutzanforderungen zu erfüllen. Stattdessen sei es notwendig, die Rechtslage im Drittland zu überprüfen und zusätzliche Maßnahmen zu ergreifen, um einen angemessenen Schutz der Daten zu gewährleisten.

Daraufhin wurden durch die EU-Kommission mit dem Beschluss 2021/914/EU im Juni 2021 neue SCC veröffentlicht, die den vom EuGH auferlegten Pflichten gerecht werden sollten. Unternehmen in der EU müssen nun neben dem Abschluss der SCC auch eine Risikoabschätzung für die Datenübermittlung durchführen, bekannt als Transfer Impact Assessment (TIA) gemäß Klausel 14. Dabei sollen sie prüfen, ob der Datenempfänger im Drittland die in den SCC festgelegten Pflichten aufgrund der dortigen Rechtslage erfüllen kann. Gemäß den neuen SCC müssen US-Unternehmen sowohl EU-Unternehmen als auch, soweit möglich, betroffene Personen darüber informieren, wenn Behörden auf die Daten der Betroffenen zugreifen wollen. Zudem sind US-Unternehmen verpflichtet, Behördenanordnungen zu überprüfen und diese gegebenenfalls anzufechten, falls sie rechtswidrig sind, wie in Klausel 15 festgelegt.

Die Anforderungen für Datenübermittlungen in die USA basierend auf den Standardvertragsklauseln sind sehr anspruchsvoll und erfordern erheblichen Aufwand von den verantwortlichen Unternehmen. Es könnte vorkommen, dass die zuständigen Behörden die getroffenen Maßnahmen als unzureichend betrachten, was zusätzliche Herausforderungen mit sich bringen kann.

Bedeutung des Angemessenheitsbeschlusses zum „EU-US Data Privacy Framework“

Durch den neuen Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 gemäß Art. 45 DSGVO für die USA entfällt für Unternehmen die mit der Nutzung von Standardvertragsklauseln einhergehende Rechtsunsicherheit. Infolgedessen sind nun Datenübermittlungen in die USA auf Grundlage des „EU-US Data Privacy Framework“ wieder ohne zusätzliche Prüfungen des Datenschutzniveaus der USA möglich. Voraussetzung dafür ist jedoch, dass sich die US-Unternehmen erfolgreich für das DPF zertifizieren lassen müssen.

Pflichten und Zertifizierungsverfahren

Beim „EU-US Data Privacy Framework“ gibt es ein Selbst-Zertifizierungsverfahren, ähnlich wie beim früheren „EU-US Privacy Shield“. US-Unternehmen können das Zertifikat erhalten, indem sie die erforderlichen Voraussetzungen erfüllen und sich vom Department of Commerce (DoC) zertifizieren lassen. Das DoC überwacht dann die Einhaltung der Verpflichtungen gemäß dem DPF.

Um zertifiziert zu werden, müssen die US-Unternehmen öffentlich erklären, dass sie die vorgeschriebenen Pflichten einhalten. Sie müssen auch ihre Datenschutzerklärungen (mit Nennung der Zertifizierung) veröffentlichen, die Zwecke der Datenverarbeitung und die Kategorien der verarbeiteten Daten beschreiben sowie Informationen über ihre Beschwerde-Mechanismen bereitstellen.

Zusätzlich müssen sie geeignete technische und organisatorische Maßnahmen ergreifen. Für die Verarbeitung von Beschäftigungsdaten gelten zusätzliche Anforderungen. Die Liste der zertifizierten US-Unternehmen kann auf der öffentlichen Website mit der „EU-US Data Privacy Framework List“ eingesehen werden: https://www.dataprivacyframework.gov/s/participant-search.

Im Rahmen des „EU-US Data Privacy Framework“ müssen US-Unternehmen ähnliche Datenschutzgrundsätze und Anforderungen einhalten wie sie in der DSGVO festgelegt sind, insbesondere in den Artikeln 5 bis 21. Dazu gehören Prinzipien wie die Rechtmäßigkeit der Datenverarbeitung, die Zweckbindung, die Richtigkeit der Daten, die Beschränkung der Verarbeitung und Speicherung von Daten auf das notwendige Maß, die Datensicherheit und die Transparenz.

Die Betroffenen haben auch hier Rechte, wie das Recht auf Auskunft, das Widerspruchsrecht, das Recht auf Berichtigung und Löschung ihrer Daten. Wenn Daten an andere Unternehmen weitergegeben werden, müssen diese Unternehmen ein gleichwertiges Datenschutzniveau bieten. Es gibt auch spezielle Regeln für die Verarbeitung sensibler Daten. Die Verpflichtungen im „EU-US Data Privacy Framework“ ähneln im Wesentlichen denen des früheren „EU-US Privacy Shield“. Aufsicht

Die US-Unternehmen werden durch das Department of Commerce mithilfe zufälliger oder anlassbezogener Überprüfungen hinsichtlich der Einhaltung der Pflichten aus dem „EU-US Data Privacy Framework“ geprüft. Dies umfasst etwa die Prüfung wegen der falschen Nennung einer Zertifizierung, unzureichender Datenschutzerklärungen oder der nicht korrekten Registrierung bei einer Streitschlichtungsstelle. Bei Pflichtverstößen müssen die US-Unternehmen einen umfangreichen Fragebogen ausfüllen.

Wenn diese dauerhaft die Pflichten nicht erfüllen können, der Beschwerde-Mechanismus unzureichend ist oder eine Re-Zertifizierung fehlschlägt, verlieren sie ihre Zertifizierung und müssen die Daten löschen oder zurückgeben. Als Aufsichtsbehörde für die Einhaltung der Pflichten fungiert die Federal Trade Commission (FTC), die verwaltungsrechtliche Anordnungen durchsetzen und, falls diese nicht umgesetzt werden, Strafen verhängen kann.

Beschwerde-Mechanismus

Darüber hinaus müssen US-Unternehmen über Beschwerde-Mechanismen verfügen, damit Betroffene bei Verdacht der Nichteinhaltung der Pflichten aus dem DPF die Möglichkeit haben, kostenfrei, leicht zugänglich und effektiv ihre Rechte durchzusetzen. Beschwerden können zunächst an das Unternehmen selbst gerichtet werden, welches innerhalb von 45 Tagen zu antworten hat. Darüber hinaus besteht die Möglichkeit, eine Beschwerde bei den in der Datenschutzerklärung benannten unabhängigen Streitschlichtungsstellen einzureichen. Betroffene können sich zudem an eine EU-Datenschutzaufsichtsbehörde wenden, soweit die zertifizierten US-Unternehmen sich freiwillig der Aufsicht unterworfen haben oder Beschäftigtendaten verarbeiten. Sofern ein US-Unternehmen nicht mit diesen Stellen kooperiert und deren Entscheidungen nicht umsetzt, wird der Fall an das DoC oder die FTC weitergeleitet. Sollten die Beschwerden erfolglos sein, können sich Betroffene als letzte Möglichkeit für ein verbindliches Schiedsverfahren an das „Data Privacy Framework Panel“ wenden.

Auswirkung der Executive Order 14086 auf die Rechtslage

Beschränkung der Zugriffsbefugnisse der US-Geheimdienste

Nachdem einer der Hauptkritikpunkte des EuGH lautete, dass die US-Geheimdienste (zu) umfassende Zugriffsbefugnisse auf bei US-Unternehmen gespeicherten Daten der Betroffenen haben, wurde am 07.10.2022 vom US-Präsidenten die Executive Order 14086 erlassen und zum 03.07.2023 umgesetzt. Diese beschränkt die Datenverarbeitung der US-Geheimdienste und gilt nicht nur als zentraler Bestandteil des Angemessenheitsbeschlusses, sondern bindet die US-Geheimdienste auch für andere Datentransfergrundlagen wie Standardvertragsklauseln. Nach der Executive Order 14086 ist eine Datenverarbeitung nur noch möglich, wenn sie aufgrund nationaler Sicherheitsinteressen notwendig und verhältnismäßig ist.

Notwendigkeit bedeutet nach der Verordnung, dass die US-Geheimdienste die Verfügbarkeit, Durchführbarkeit und Eignung eingriffsärmerer Quellen und Methoden prüfen sowie priorisieren müssen. Verhältnismäßigkeit im Sinne der Executive Order 14086 heißt, dass sich die Verarbeitung nicht unverhältnismäßig auf die Privatsphäre und Freiheiten der Betroffenen auswirken darf.

Hierfür ist eine Reihe von Kriterien zu beachten, wie zum Beispiel Zweck, Eingriffstiefe, Dauer und Sensibilität der Daten. Daneben zielt die Executive Order 14086 auch insgesamt darauf ab, die Datenschutzgrundsätze und Auswirkungen auf die Privatsphäre und Freiheiten der Betroffenen in der Aktivität der US-Geheimdienste zu berücksichtigen. Hierzu zählt beispielsweise auch die Priorisierung gezielter Erhebungen, statt der in der Vergangenheit stark kritisierten Massenerhebungen („Bulk Collection“).

Aufsicht über die Executive Order 14086

Die Einhaltung der vorgenannten Anforderungen soll durch unabhängige Stellen gesichert werden. Hierzu zählen etwa die in allen Geheimdiensten etablierten Privacy and Civil Liberties Officer, die für die Aufsicht und die Sicherstellung der Compliance in jeder US-Geheimdienstbehörde verantwortlich sind. Außerdem gibt es den Civil Liberties Protection Officer (CLPO), der insbesondere für die Umsetzung des Rechtsbehelfsmechanismus zuständig ist. Daneben existiert zum Beispiel das Privacy and Civil Liberties Oversight Board (PCLOB), welches regelmäßig Evaluierungen zur Einhaltung der Executive Order 14086, insbesondere des Rechtsbehelfsmechanismus, vornimmt und Berichte erstellt.

Etablierung eines zweistufigen Rechtsbehelfsmechanismus

Dem zweiten großen Kritikpunkt des EuGH, dass die Bürgerinnen und Bürger in der EU keine Möglichkeit hätten, sich gegen den Zugriff der US-Geheimdienste zur Wehr zu setzen, soll mit der Einrichtung eines unabhängigen, zweistufigen Rechtsbehelfsmechanismus begegnet werden. Alle betroffenen Personen aus der EU können über eine nationale EU-Datenschutzaufsichtsbehörde eine Beschwerde einreichen, welche wiederum über den Europäischen Datenschutzausschuss (EDSA) an den CLPO weitergeleitet wird. Hierfür muss zwar nicht dargelegt werden, dass tatsächlich Daten verarbeitet wurden, jedoch müssen gewisse Basisinformationen mitgeteilt werden. Dazu zählt etwa die Vermutung darüber, welche Daten auf welchem Wege übermittelt wurden.

Auf erster Stufe wird die Beschwerde vom unabhängigen und unparteiischen Civil Liberties Protection Officer untersucht. Dieser hat Zugriff auf alle relevanten Informationen für die Untersuchung und darf bei der Durchführung seiner Aufgaben nicht behindert werden. Der CLPO entscheidet darüber, ob ein Verstoß gegen US-Recht vorliegt und wenn ja, welche geeigneten, bindenden Maßnahmen dagegen zu ergreifen sind. Diese können von der Beschränkung des Zugriffs über die Beendigung der Datenverarbeitung bis hin zur Löschung der Daten führen.

Allerdings erhält der Beschwerdeführende über das Ergebnis der Prüfung und der gegebenenfalls eingeleiteten Maßnahmen nur eine bereits vorgefertigte, einheitliche Antwort: „The review either did not identify any covered violations or the CLPO issued a determination requiring appropriate remediation.“ (auf Deutsch etwa: „Die Überprüfung hat entweder keine Verstöße festgestellt oder der CLPO hat eine Entscheidung getroffen, die angemessene Abhilfemaßnahmen erfordert.“).

Auf zweiter Stufe wurde ein unabhängiger und unparteiischer Data Protection Review Court (DPRC) eingeführt, bei dem die Entscheidung des CLPO innerhalb von 60 Tagen angefochten werden kann. Hierfür können sich die Beschwerdeführenden der 1. Stufe erneut an ihre nationale EU-Datenschutzaufsichtsbehörde wenden. Der DPRC besteht aus sechs Richterinnen und Richtern, die sowohl im Datenschutzrecht als auch im Recht der nationalen Sicherheit bewandert sein müssen. Sie müssen zudem insoweit unabhängig sein, als dass sie keine Beschäftigten der Exekutive sind und auch keine Pflichten gegenüber der US-Regierung haben. Außerdem dürfen sie bei ihrer Arbeit nicht behindert oder beeinflusst werden. Die Interessen des Beschwerdeführenden werden durch einen Special Advocate vertreten.

Der DPRC kann entweder feststellen, dass die Entscheidung des CLPO richtig war, oder eigene, bindende Maßnahmen erlassen. Seine Entscheidung übermittelt er dann an den CLPO. Der Beschwerdeführende erhält unabhängig vom Ausgang der Prüfung ebenfalls dieselbe vorgefertigte Antwort wie zuvor vom CLPO.

Kritik am neuen Angemessenheitsbeschluss

Beim Vergleich der Pflichten und des Zertifizierungsverfahrens aus dem „EU-US Data Privacy Framework“ mit dem „EU-US Privacy Shield“ fällt auf, dass sie sich ähnlich sind. Tatsächlich wurden bestehende Zertifizierungsprozesse weitgehend übernommen. Daher haben sich bereits am 17.07.2023, als die DPF-Website online ging, zahlreiche Unternehmen erfolgreich zertifiziert. Einige Unternehmen scheinen ihre alten Unterlagen zum „EU-US Privacy Shield“ erneut eingereicht zu haben, da beispielsweise E-Mail-Adressen immer noch den Namen des vorherigen Abkommens trugen oder Datenschutzerklärungen noch nicht aktualisiert waren. Insofern bringt das DPF also keine grundlegenden Neuerungen im Vergleich zum „EU-US Privacy Shield“.

Daher stellt sich die Frage, ob die Kritik des EuGH auch auf den neuen Angemessenheitsbeschluss übertragbar ist, insbesondere in Bezug auf die Executive Order 14086.

Es ist wichtig zu beachten, dass die Überwachungsbefugnisse aus FISA 702 nicht direkt geändert wurden. Stattdessen versuchte die Executive Order 14086 des US-Präsidenten, die Rahmenbedingungen zur Tätigkeit der US-Geheimdienste in Bezug auf die Einhaltung der Datenschutzgrundsätze festzulegen und einen Rechtsbehelfsmechanismus einzuführen. Dennoch bleibt unklar, wie eine betroffene Person überhaupt darüber informiert wird, dass ihre Daten von US-Geheimdiensten verarbeitet werden.

Es kann bezweifelt werden, ob das neue Abkommen geeignet ist, die umfassenden Anforderungen des EuGH tatsächlich zu erfüllen. Der Europäische Datenschutzausschuss und das Europäische Parlament äußerten im Rahmen der Verhandlungen zum Angemessenheitsbeschluss bereits Zweifel daran. Maximilian Schrems kritisierte nach der Beschlussfassung insbesondere, dass es sich bei dem neu eingeführten Data Protection Review Court nicht um ein „echtes Gericht“ handle, sondern lediglich um ein exekutives Organ, dessen Antwort bereits vor der Entscheidung feststehe. Er kündigte an, sich (erneut) durch die Instanzen klagen zu wollen, um auch den neuen Angemessenheitsschluss für die USA vor dem EuGH zu „kippen“.

Fazit

Der neue Angemessenheitsbeschluss ermöglicht europäischen Unternehmen nach drei Jahren der Unsicherheit, die Dienste zertifizierter US-Unternehmen rechtssicher zu nutzen, ohne zusätzliche Standardvertragsklauseln, Einwilligungen oder aufwendige Risikobewertungen für die Datenübermittlung. Die Maßnahmen der Executive Order 14086 haben positive Veränderungen in Bezug auf den Datenschutz in den USA bewirkt, die auch bei der Verwendung von SCC und der Durchführung des TIA berücksichtigt werden können. Ob diese Änderungen jedoch ausreichen, um einer möglichen erneuten Überprüfung durch den EuGH standzuhalten, bleibt aufgrund der Kritik abzuwarten. Letztendlich wird der EuGH entscheiden müssen, ob die USA unter dem „EU-US Data Privacy Framework“ ein angemessenes Datenschutzniveau bieten. Unternehmen sollten das Thema Drittlandübermittlung weiterhin im Auge behalten, bis eine endgültige Entscheidung vorliegt.