Seit Juli 2023 ist das Datenschutzabkommen „Data Privacy Framework” in Kraft. Nach Safe Harbor und EU-US-Privacy Shield nun also der dritte Versuch, ein rechtssicheres Abkommen für die Weitergabe von personenbezogenen Daten aus der EU in die USA zu etablieren. Im folgenden Artikel klären wir insbesondere folgende sich ergebende Fragen hierzu: Welche Grundprinzipien sind im neuen Datenschutzabkommen festgelegt? Hat das neue Abkommen das Zeug dazu, den schon geplanten Gegenklagen zu widerstehen? Und wie kam es überhaupt zu der Entstehung eines dritten Datenschutzabkommens zwischen der EU und den USA?
Erstes Datenschutzabkommen: Safe Harbor
Damit der Datenverkehr zwischen der Europäischen Union (EU) und den USA im immer schneller wachsenden Internet nicht zum Erliegen kam, wurde zwischen 1998 und 2000 ein besonderes Verfahren für die Weitergabe von Personen-bezogenen Daten entwickelt. US-Unternehmen konnten dem sogenannten Safe Harbor Datenschutzabkommen beitreten und sich auf einer entsprechenden Liste des US-Handelsministeriums eintragen lassen. Damit verpflichteten sie sich, die sogenannten „Safe Harbor Principles“, also die ‚Grundsätze eines sicheren Hafens‘ anzuerkennen. Diese Grundsätze umfassen etwa die der Transparenz und Zweckmäßigkeit der Informationsverarbeitung, der Datensicherheit sowie der Korrigierbarkeit der erfassten Informationen. Safe Harbor wurde notwendig, da die Datenschutzrichtlinie 95/46/EG aus dem Jahr 1995 es grundsätzlich verbot, personenbezogene Daten aus Mitgliedstaaten der Europäischen Union in Staaten zu übertragen, deren Datenschutz kein dem EU-Recht vergleichbares Schutzniveau aufwies. In der Safe-Harbor-Entscheidung hatte die EU im Juli 2000 anerkannt, dass bei den Unternehmen, die sich diesem Abkommen verpflichten, ein ausreichender Schutz für die personenbezogenen Daten von EU-Bürgern bestand.
Nur ein Jahr später erschütterten die Terroranschläge vom 11. September die Welt, und hatten langfristig auch Auswirkungen auf das Safe-Harbor- sowie die Folge-Abkommen.
Durch den im Oktober 2001 verabschiedeten US-Patriot Act erhielten die US-Geheimdienste weitreichende Möglichleiten, bei jedem US-Unternehmen im Verdachtsfall ohne richterliche Beschlüsse Daten abfragen zu können. In den folgenden Jahren fand dieser Umstand keine große Aufmerksamkeit. Doch mit dem Entstehen sowie dem immer mehr in den Fokus von europäischen Datenschutzaktivisten. Der NSA-Skandal von 2013 (Die Veröffentlichung von Geheimdienstdokumenten durch Edward Snowden) brachte schließlich das Fass zum Überlaufen. Er brachte umfangreiche Spionageaktivitäten ans Licht.
Als Folge wurde Klage gegen Safe Harbor vor dem europäischen Gerichtshof (EU-GH) eingereicht. Dieser erklärte dann im September 2015, dass die entsprechende Regelung nichtig ist.
Abbildung 1: Globaler Cloud Markt – Verteilung nach Regionen, Quelle: The Business Research Company, 2021
Zweites Datenschutzabkommen: EU-US Privacy Shield
Es musste also ein Nachfolgeabkommen her, damit die Nutzung des von amerikanischen Firmen dominierten und inzwischen weiter enorm gewachsenen Cloud-Computing-Markts für europäische Unternehmen auf rechtlich sicheren Füßen steht. Nach Zugeständnissen der US-Regierung unter Präsident Obama, etwa einer Klagemöglichkeit für EU-Bürger in den USA im Fall einer Verletzung des Datenschutzes, wurde im Juli 2016 das Nachfolgeabkommen Privacy Shield von der EU-Kommission in Kraft gesetzt. Kritiker bemängelten von Anfang an, dass es bis auf wenige Details keine Unterschiede zu Safe Harbor gibt und mahnten Unsicherheiten im Falle eines Regierungswechsels in den USA an. Dieser Wechsel trat dann 2016 tatsächlich durch die Regierung Trump ein. Diese verabschiedete eine Reihe von Gesetzesänderungen, unter anderem das Non-US-Bürger von Klagemöglichkeiten in den USA wieder ausgeschlossen sind. Es wurde erneut vor dem EU-GH Klage einreicht und das Privacy Shield Abkommen im Juli 2020 für nichtig erklärt.
Drittes Datenschutzabkommen Data Privacy Framework
Erneut musste also ein Nachfolge-Abkommen vereinbart werden, um den EU-Unternehmen Rechtssicherheit bei der Nutzung von US-amerikanischen Cloud-Services zu bieten. Um eine Einigung zu erzielen musste zunächst eine sogenannte „Executive Order“ der neuen US-Regierung unter Biden erlassen werden, welche unter anderem die US-Geheimdienste anweist, ihre Datenzugriffe auf ein verhältnismäßiges Maß zu beschränken. Damit war der der Weg für die EU-Kommission frei, das Privacy Framework Abkommen mittels eines sogenannten Angemessenheitsbeschluss gemäß Art. 45 GDPR bzw. DSGVO zu verabschieden. Dieser Beschluss wurde ab Dezember 2022 entworfen und im Juli 2023 schließlich verabschiedet. Das Framework ist damit in Kraft getreten.
Es gelten folgende Grundprinzipien:
- Verbindliche Schutzmaßnahmen sollen den Zugriff der US-Nachrichtendienste beschränken. Es soll sichergestellt sein, dass ein Zugriff nur dann erfolgt, wenn er notwendig und verhältnismäßig ist, um die nationale Sicherheit der USA zu gewährleisten, ohne dass dadurch die Rechte und Freiheiten des Einzelnen unverhältnismäßig beeinträchtigt werden.
- Es werden Verfahren etabliert, die eine wirksame Überwachung der neuen Standards gewährleisten.
- Ein neues zweistufiges Rechtsbehelf-System soll sicherstellen, dass Beschwerden von EU-Bürgern über den Zugriff auf Daten durch US-Nachrichtendienste untersucht und behandelt werden. Für die gerichtliche Prüfung wurde in den USA ein neuer und unabhängiger „Data Protection Review Court“ ins Leben gerufen.
- Für US-Unternehmen, die aus der EU übermittelte Daten verarbeiten, gelten strenge Verpflichtungen. Dazu gehört insbesondere, die Einhaltung des Abkommens gegenüber dem US-Handelsministerium anhand einer Selbstzertifizierung zu bestätigen. Die Prinzipien für diese Selbstzertifizierung orientieren sich am europäischen Datenschutzrecht.
Abbildung 2: Grundprinzipien des Data Privacy Framework
Für alle EU-Unternehmen, die US-Cloud-Dienste einsetzen und dadurch personenbezogene Daten in die USA übermitteln, ist mit dem Inkrafttreten des EU-US Data Privacy Framework eine deutliche Erleichterung eingetreten. Es besteht nämlich jetzt wieder Rechtssicherheit. Aus wirtschaftlicher Sicht ist diese Entwicklung durchaus zu begrüßen.
Doch Vorsicht! Der Angemessenheitsbeschluss für das EU-US Data Privacy Framework kommt nur zum Tragen, wenn das US-Unternehmen, an das personenbezogene Daten übermittelt werden sollen, über eine entsprechend gültige Zertifizierung verfügt. Es muss also auf der offiziellen Website für das neue Datenschutzabkommen in der Liste mit den US-Unternehmen eingetragen sein, die sich nach dem neuen Mechanismus zertifiziert haben lassen und an die somit ohne weitere Voraussetzungen personenbezogene Daten übermittelt werden dürfen.
Ist das nicht der Fall, ist als Alternative weiterhin der Abschluss von Standardvertragsklauseln und die Durchführung eines sogenannten Transfer Impact Assessments, also eine Risikobewertung für Datenübermittlungen in unsichere Drittländer, erforderlich. Bei Standardvertragsklauseln handelt es sich um von der Europäischen Kommission verabschiedete Vertragsmuster. Diese Muster vereinbaren europäische Datenschutzstandards vertraglich zwischen Firmen im Europäischen Wirtschaftsraum und Cloud-Anbietern in Drittstaaten. Angesichts der offenen Erfolgschancen des EU-US Data Privacy Frameworks empfiehlt es sich, bereits bestehende Vertragsklauseln nicht zu kündigen, sondern das Framework als eine Art „doppelten Boden“ zu nutzen.
Fazit – Datenschutzabkommen „Data Privacy Framework”
Grundsätzlich ist jedes Datenschutzabkommen, welches Rechtsicherheit für EU-Unternehmen bietet, zu begrüßen. Aus diesem Blickwinkel ist das Data Privacy Framework ein Schritt in die richtige Richtung. Allerdings ist auch hier das letzte Wort noch nicht gesprochen. Die Datenschutzaktivisten, die schon Safe Harbor und Privacy Shield zu Fall gebracht haben, haben eine entsprechende Klage gegen das Data Privacy Framework angekündigt. Gerade die wagen Formulierungen bezüglich des verhältnismäßigen Maßes bei Datenzugriffen durch US-Geheimdienste sowie die insgesamt nur geringen Unterschiede zum Privacy Shield sind ihnen ein Dorn im Auge. Solange es keine Änderung des US-Überwachungsrechts hinsichtlich das Patriot Acts gibt, steht jedes Datenschutzabkommen auf wackligen Beinen. Daher sollten EU-Unternehmen bei der Nutzung von Cloud Services von US-Anbietern weiterhin zusätzlich auf genau definierte Standardvertragsklauseln für die Datenverarbeitung in Nicht-EU-Rechenzentren und auf eine detaillierte Risikobewertung bei der Datenübermittlung achten.
