Das EU-US Data Privacy Framework ist da! - Datenschutzbeauftragter Münsterland

Datenaustausch zwischen der EU und den USA

Seit nunmehr gut drei Jahren herrscht allgemein große Verunsicherung, wenn es darum geht, Lösungen von US-amerikanischen Unternehmen im eigenen Unternehmen zu nutzen. Seien das Tools für Videokonferenzen, Chat-Lösungen, Social Media Plattformen, Dokumentenmanagementlösungen und vieles andere mehr. Denn mit dem Urteil zum Privacy Shield am 16.07.2020 hatte der Europäische Gerichtshof die seinerzeitige Legitimation des Datentransfers in die USA einkassiert. Der EuGH sah im Kern das Problem, dass US-amerikanische Unternehmen die datenschutzrechtlichen Garantien, die der Privacy Shield geben solle, in der Praxis gar nicht gewährleisten konnten.

Was dann kam, mutet wie hektisches Treiben an: Die EU-Kommission überarbeitete die Standardvertragsklauseln, die beim Datentransfer in die USA obligatorisch wurden. Ferner formulierte das Schrems II Urteil vom 16.07.2020 des EU GH glasklar, dass die Standardvertragsklauseln allein nicht ausreichten. Es käme vielmehr auf den jeweiligen Einzelfall an und es seien weitere, geeignete (Sicherheits-)-Garantien mit dem Datenempfänger zu vereinbaren. Darüber hinaus sei von den Verantwortlichen ein Transfer Impact Assessment (TIA) durchzuführen – was im Prinzip eine Datenschutzfolgeabschätzung für die Übermittlung personenbezogener Daten ins Drittland bedeutet. Wenn Sie sich immer gefragt haben „Wie soll ich denn als deutscher Unternehmer einschätzen, welche Risiken personenbezogene Daten in dem Rechtssystem des Ziellandes ausgesetzt sind?“, sind Sie damit nicht allein. Die Durchführung einer TIA ist zweifelsohne extrem komplex, aufwendig und somit teuer und trägt auch nur bedingt zu einer höheren Rechtssicherheit bei.

Allen Beteiligten war seit dem Urteil klar: Eine neue Legitimationsgrundlage für den Datenaustausch muss her!

Die Festlegung der Eckpunkt des DPF erfolgte bereits im März 2022

Die Eckpunkte des neuen Abkommens wurden zwischen der EU und der US-Regierung in Gesprächen zwischen Ursula v. d. Leyen und US-Präsident Joe Biden bereits im März 2022 ausgehandelt. Man vereinbarte, Datenschutz nach folgenden Grundprinzipien im „EU-U.S. Data Privacy Framework“ sicherzustellen:

Daten werden zwischen der EU und den teilnehmenden US-Unternehmen frei und sicher ausgetauscht.
Der Zugriff der US-Nachrichtendienste auf personenbezogene Daten soll durch ein neues Regelwerk und verbindliche Schutzmaßnahmen beschränkt werden. Ein Zugriff ist nur noch dann erlaubt, wenn er notwendig und verhältnismäßig ist, um die nationale Sicherheit zu gewährleisten, ohne dass dadurch die Rechte und Freiheiten des Einzelnen unverhältnismäßig beeinträchtigt werden. Dazu gehört auch, dass neue Verfahren eingeführt werden, die wirksam überwachen, dass dieser neue Standard eingehalten wird.
EU-Bürger bekommen die Möglichkeit, Zugriffe auf ihre Daten durch US-Nachrichtendienste vor einem neuen, unabhängigen „Datenschutzgericht“ überprüfen zu lassen.
Wie beim damaligen Privacy Shield Abkommen auch, verpflichten sich US-Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, im Rahmen einer Selbstzertifizierung zur Einhaltung dieses Abkommens.

Die auf Regierungsebene festgelegten Eckpunkte mussten nun seitens der USA noch in materielles Recht umgesetzt werden. Dies tat der US-Präsident Joe Biden am 07.10.2022 mit dem Instrument der Executive Order. Mit dieser präsidialen Anweisung wurden u.a. die US-Geheimdienste angewiesen, ihre Datenzugriffe auf ein verhältnismäßiges Maß zu beschränken.

EU und USA: Wird der Datenautausch mit Uncle Sam jetzt einfacher?

Nun war die EU wieder an der Reihe, die im nächsten Schritt einen Angemessenheitsbeschluss auf den Weg bringen musste.

Mit einem Angemessenheitsbeschluss erkennt die EU-Kommission nach den Kriterien des Art. 45 Abs. 2 DS-GVO an, dass in dem fraglichen Drittland ein gleichwertiges Datenschutzniveau herrscht, wie in der Europäischen Union. Angemessenheitsbeschlüsse gibt es seit der Einführung der Datenschutzgrundverordnung. Im Moment liegen sie für folgende Länder vor:

Argentinien
Färöer-Inseln
Guernsey
Isle of Man
Israel (eingeschränkt)
Japan
Jersey
Kanada (eingeschränkt)
Neuseeland
Schweiz
Südkorea
Uruguay
Vereinigtes Königreich (eingeschränkt)
Und seit dem 10.07.2023 nun auch für die Vereinigten Staaten von Amerika – USA (eingeschränkt)

Das Prinzip eines Angemessenheitsbeschlusses ist ein ganz Einfaches: Liegt er für das Land vor, mit dem personenbezogene Daten ausgetauscht werden, dürfen Unternehmen personenbezogene Daten ohne weitere Voraussetzungen an die betreffenden Empfänger in diesem Land übermitteln. Hierzu mal ein praktisches Beispiel:

In vielen Unternehmen stehen Kyocera-Drucker. Diese werden in der Regel von deutschen Serviceunternehmen gewartet. Allerdings könnte es in schwierigen Wartungsfällen passieren, dass eben doch personenbezogene Daten an den Mutterkonzern geschickt werden (und wenn auch nur "aus Versehen), der ja seinen Firmensitz in Japan hat.

Es wäre aber auch denkbar, dass Kyocera z. B. eine Cloud einrichtet, um noch besseren Kundenservice anzubieten. Die Cloud könnte z. B. alles zur Verfügung stellen, was Ihre Kyocera-Geräte betrifft, z. B. auch Reparatureinsätze oder auch wichtige Scans / Kopien, die von Ihren Geräten aus angefertigt wurden. Die Cloud nutzt Rechenzentren in Europa und Japan.

Dank des Angemessenheitsbeschlusses für Japan muss man sich bei so einer Konstellation überhaupt keine Gedanken machen: Die Rechtsgrundlage ist ganz einfach: z. B. Art. 6 Abs. 1 lit. b) (also Vertrag) oder f) (berechtigtes Interesse) i.V.m. Angemessenheitsbeschluss der EU-Kommission vom 23.01.2019.

US-Unternehmen müssen datenschutzzertifiziert sein

Dem aufmerksamen Leser wird aufgefallen sein, dass der Angemessenheitsbeschluss mit dem Zusatz „eingeschränkt“ gekennzeichnet ist. Die EU-Kommission hat nämlich festgestellt, dass kein generelles angemessenes Datenschutzniveau für Übermittlungen an Organisationen in den USA vorausgesetzt werden kann. EU-Verantwortliche müssen vor der Übermittlung personenbezogener Daten in die USA prüfen, dass die Organisation, an die übermittelt wird, unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Erst dann sind keine weiteren Übermittlungsinstrumente oder zusätzlichen Maßnahmen erforderlich. Beim amerikanischen Wirtschaftsministerium wird die aktuelle DPF-Teilnehmer-Liste geführt, in der alle aktuell zertifizierten Unternehmen aufgeführt sind.

Zertifiziert sind z. B. Google LLC, Meta Platforms Inc, Expedia, Zoom und viele andere. Trimble (für das Vermessungswesen) ist z.Z. inaktiv gemeldet.

Vereinfacht das Data Privacy Framework den Prozess?

Ob der neue Angemessenheitsbeschluss das Leben eines Verantwortlichen denn nun leichter macht, kommt nach wie vor auf den Einzelfall an:

Sofern es „nur“ darum geht, mit dem Diensteanbieter direkt personenbezogene Daten auszutauschen ja. Das wäre z. B. dann der Fall, wenn Sie eine Dokumentenmanagementlösung z. B. von Adobe Inc. oder eine amerikanische Newsletterlösung wie z. B. Mailchimp einsetzen. Da Adobe und z. B. auch Intuit (das Unternehmen, das Mailchimp anbietet) nach Data Privacy Framework (DPF) zertifiziert sind, kann die Zusammenarbeit ohne weitere Prüfung erfolgen.

Bei der Nutzung von Google-Diensten auf der eigenen Homepage kann man das nun wieder nicht so pauschal sagen: Beim Besuch einer Website mit eingebundenen Google-Diensten werden bekanntlich die IP-Adresse sowie weitere personenbezogene Daten wie z. B. die Metadaten des Browsers eines Websitebesuchers an Google übermittelt. Aber: In vielen Fällen werden diese personenbezogenen Daten eben nicht nur an Google übermittelt, sondern auch noch an die Werbepartner, die Google im Schlepptau hat.

Hier muss dann geschaut werden, wer diese Unternehmen sind, in welchen Ländern der Firmensitz ist und sofern es sich um US-Unternehmen handelt, ob diese nach dem neuen DPF zertifiziert sind. Handelt es sich um Nicht-US-Firmen, ist überhaupt erst mal zu prüfen, ob ein Angemessenheitsbeschluss vorliegt.

Gleiches gilt für den Betrieb einer eigenen Fanpage: Sofern nur Meta die Daten erhalten würde, wäre ja alles gut – doch so ist es ja nicht. Auch Meta gibt personenbezogene Daten europäischer Nutzer an Werbepartner weiter. Welche das ganz genau sind: ? – weiß man nicht genau. Denn die Praxis zeigt ja immer wieder, dass gerade die großen amerikanischen Unternehmen nicht gerade Musterschüler in Sachen Transparenz sind – insofern bleibt Verantwortlichen auch in Zukunft nichts anderes übrig, als eine Einzelfallprüfung vorzunehmen.

Anmerkung:

Noch im Mai 2023 wurde Meta Inc. wieder einmal zu einer Rekordstrafe von 1,2 Milliarden! Euro aufgrund von Datenschutzverstößen verurteilt. Diese Strafe wurde aufgrund der Beteiligung von FB an der Massenüberwachung durch US-Geheimdienste verhängt, die seinerzeit Edward Snowden öffentlich machte.
Viele weitere Verfahren sind noch anhängig. Mit der neuen Strafe für Meta wurden seit dem Inkrafttreten der Datenschutzgrundverordnung vor fünf Jahren Bußgelder in Höhe von vier Milliarden Euro verhängt. Meta ist in der Liste der zehn höchsten Bußgelder nun gleich sechs Mal vertreten.

Es gilt also genau hinzuschauen. Dazu sind die Datenschutzerklärungen der Unternehmen genau zu prüfen und im Vorfeld zu checken, ob das Unternehmen selbst nach DPF zertifiziert ist. Ist das angedachte US-Partnerunternehmen nämlich nicht nach DPF-zertifiziert, sind weiterhin die EU-Standardvertragsklauseln inklusive spezieller Sicherheitsmaßnahmen zu vereinbaren und es ist ein sog. Transfer Impact Assessment (TIA) anzufertigen. Der Abschluss eines Auftragsverarbeitungsvertrages / Data Processing Agreements (DPA) bleibt natürlich nach wie vor obligatorisch.

Neben viel Lob auch erhebliche Kritik am Angemessenheitsbeschluss der EU

Kritik der EDSA

Schon auf der höchsten europäischen Ebene – dem Europäischen Datenschutz Ausschuss (EDSA) bestehen Zweifel an der tatsächlichen, praktischen Umsetzung des Datenschutzrahmens sowie bezüglich möglicher Ausnahmen zu Gunsten einer – wenn auch nur vorübergehenden – Massenerhebung von Daten in den USA.

Kritik der Aufsichtsbehörde Baden-Württemberg

Die Aufsichtsbehörde in Baden-Württemberg äußerte z. B. Zweifel daran, ob eine Executive Order als Rechtsinstrument überhaupt geeignet sei, um die von der EU geforderten Datenschutzpunkte wirksam umzusetzen.

Zudem bleibe unklar, was die amerikanische Auffassung von „verhältnismäßigen Datenzugriffen“ durch die US-Geheimdienste sei. Denn den im europäischen Verfassungsrecht zentralen Begriff der Verhältnismäßigkeit gibt es im amerikanischen Rechtssystem so nicht.

Kritik von Maximilian Schrems und NYOB

Auch der österreichische Datenschutzaktivist und Rechtsanwalt Maximilian Schrems mit seiner Nichtregierungsorganisation nyob ist der Ansicht, dass sich der geplante Rechtsrahmen strukturell nicht von denjenigen unterscheide, die seine Organisation bereits früher zu Fall gebracht hat.

Es ist also wieder mal nur eine Frage der Zeit, bis auch das EU-US Data Privacy Framework einer gerichtlichen Überprüfung unterzogen wird.

Empfehlungen für Verantwortliche

Verantwortliche fahren nach wie vor gut damit, auf europäische Lösungsanbieter zu setzen. Ferner ist es bei der Zusammenarbeit mit US-Unternehmen weiterhin sehr sinnvoll, darauf zu achten, dass Daten in europäischen Clouds gespeichert bleiben, auf die US-Geheimdienste keinen Zugriff haben.

Es bleibt also abzuwarten, ob aller guten Dinge 3 sind.

Brauchen Sie Unterstützung oder überlegen Sie einen externen Datenschutzbeauftragten bestellen? Dann nehmen Sie doch einfach Kontakt auf. Datenschutz kann auch Spaß machen!