EU Kommission:

EU-US Data Privacy Framework in Kraft

Nachdem Safe-Harbor und Privacy Shield als Rechtsgrundlage für den Transfer personenbezogener Daten in die USA vom Europäischen Gerichtshof vor Jahren kassiert wurden, gibt es nun einen neuen Anlauf für transatlantische Datentransfers: Das EU-US Data Privacy Framework.

EU-US Data Privacy Framework Datenschutz Rechtsanwalt
© NicoElNino – stock.adobe.com

Nahezu jedes Unternehmen ist von transatlantischen Datentransfers in die USA betroffen, da die meisten der großen Techanbieter (wie z.B. Apple, Microsoft, Amazon, Google und Facebook) ihren Sitz in den USA haben. Seit der EUGH zunächst Safe Harbor und auch das Folgeabkommen den Privacy Shield als Grundlage für transatlantische Datentransfers personenbezogener Daten abräumte, herrschte für viele Unternehmen eine hohe Rechtsunsicherheit. Gleichzeitig waren und sind viele Unternehmen auf den Transfer personenbezogener Daten in die USA – oft auch mangels brauchbarer Alternativen – darauf angewiesen.

EU-US Data Privacy Framework

Nun unternehmen die EU und die USA mit dem EU-US Data Privacy Framework (EU-U.S. DPF) den dritten Anlauf für ein Abkommen zum Transfer personenbezogener Daten zwischen der EU und den USA.  Am 10.07.2023 hat die Europäische Kommission ihren Angemessenheitsbeschluss für das EU-US Data Privacy Framework veröffentlicht. Dieser gilt nun ab dem 10.07.2023.

Der Angemessenheitsbeschluss kommt zu dem Schluss, dass die Vereinigten Staaten im Vergleich zur EU ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an US-Unternehmen übermittelt werden, die an dem EU-U.S. DPF teilnehmen.

Somit besteht für Datentransfers die unter diesen Bedingungen in die USA erfolgen wieder eine Rechtsgrundlage für Unternehmen.

Was ist beim EU-US Data Privacy Framework anders?

Ein wesentliches Element des EU-U.S. DPF, ist die von Präsident Biden am 07.10.2022 unterzeichnete Exekutive Order „Enhancing Safeguards for United States Signals Intelligence Activities“, die von Verordnungen des US -Justizministeriums begleitet wird. Damit sollen die Bedenken des EUGH in seinen Urteilen zu Safe Harbor und Privacy-Shield, auch Schrems I und Schrems II genannt, ausgeräumt werden.

Für EU-Bürger, deren personenbezogene Daten in die USA übermittelt werden, sieht diese Executive Order Folgendes vor:

  • Verbindliche Garantien, die den Zugriff auf Daten durch US-Nachrichtendienste auf das beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist;
  • eine verstärkte Aufsicht über die Aktivitäten der US-Geheimdienste, um die Einhaltung der Beschränkungen von Überwachungsmaßnahmen zu gewährleisten;
  • und die Einrichtung eines unabhängigen und unparteiischen Rechtsbehelfsmechanismus, zu dem auch ein neues Datenschutzprüfungsgericht gehört, das Beschwerden über den Zugriff der nationalen Sicherheitsbehörden der USA auf ihre Daten untersucht und entscheidet.

Künftig sollen EU-Bürger also mehr vor der Sammelwut amerikanischer Nachrichtendienste geschützt werden und auch die Möglichkeit von Rechtsbehelfen haben.

Kritik

Max Schrems, Namensgeber der beiden EUGH Entscheidungen gegen die früheren Abkommen,  und noyb, für die er tätig ist, laufen sich bereits für ein drittes Verfahren vor dem EUGH warm. Es handele sich lediglich um eine Kopie des Privacy Shield mit rein kosmetischen aber nicht substantiellen Änderungen.

Wesentliche Kritikpunkte sind:

  • Das Verständnis von Verhältnismäßigkeit in den USA sei ein gänzlich anderes, da die Massenüberwachung durch US-Geheimdienste dort als verhältnismäßig beurteilt würden.
  • Es fehlt nach wie vor an einem echten Rechtsbehelf, da der Gang zu echten Gerichten in den USA für EU-Bürger wegen Überwachungsmaßnahmen der US-Geheimdienste weiterhin nicht möglich ist. Das nun eingesetzte „Gericht“ sei wieder kein echtes Gericht sondern unterstehe der Exekutive in den USA.
  • Auch handele es sich seitens der USA nur um eine Executive Order, nicht um ein förmliches Gesetz. Der nächste Präsident könne dies daher wieder rückgängig machen.

Fazit

Bei aller (berechtigter) Kritik an dem Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework ist dies aktuell eine Rechtsgrundlage für den Datentransfer in die USA für Unternehmen. Man muss sich nur bewusst sein, dass diese Rechtsgrundlage möglicherweise in einer Schrems III Entscheidung des EUGH wieder abgeräumt wird. Bis es soweit ist, gilt sie aber.

Artikel als PDF speichern

Clemens Pfitzer

Rechtsanwalt . Partner
Fachanwalt für:
Gewerblicher Rechtsschutz
IT-Recht
+49 711 41019072

Rechtsgebiete zu dieser News

Themen zu dieser News