So heißt die aktuell diskutierte datenschutzrechtliche Vereinbarung zwischen der EU und US-Unternehmen bzgl. der transatlantischen Datenübertragung und -verarbeitung. Das Inkrafttreten würde für alle Beteiligten eine ungemeine rechtliche Vereinfachung der Nutzung von datenverarbeitenden US-Diensten durch EU-Unternehmen bedeuten.
Die aktuelle Regelung, per Standard-Vertragsklauseln (SCC) oder Transfer Impact Assessment die Datenverarbeitung durch US-Unternehmen zu legitimieren hat den entscheidenden Nachteil, dass der EU-Verantwortliche die Beweislast der korrekten Verarbeitung trägt und eine Risikobewertung durchführen muss, inklusive der Transparenz- und Informationsanforderungen für die Betroffenen und erhöhter technischer Maßnahmen wie bspw. völlig durchgehende Verschlüsselung oder Anonymisierung.
Nach der grundsätzlichen Einigung an Hand des „Data Privacy Frameworks“ zwischen der EU und den USA, ergänzt durch den Executive Order von US-Präsident Biden im Oktober 2022 ist nun mit dem Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO vom 10. Juli 2023 durch die EU eine weitere rechtliche Hürde für die Datenverarbeitung von EU-Daten durch US-Dienste genommen.
Was sagt die US-Regierung?
Im Grundsatz geht es immer wieder um die per Cloud-Act und Foreign Intelligence Surveillance Act eingeschränkten Betroffenenrechte von Nicht-US-Bürgern, da behördliche US-Dienste nicht auskunfts- oder informationspflichtig gegenüber EU-Bürgern sind und Stillschweigen von den überprüften Unternehmen verlangen.
Nun sind die betreffenden administrativen US-Dienste aber mittlerweile auf Notwendigkeit und Verhältnismäßigkeit des Zugriffs verpflichtet und es gibt ein Schiedsgericht, dass die Rechte der Betroffenen EU-Bürger vertritt. Dazu ist ein Data Protection Review Court ins Leben gerufen worden, der die Rechtmäßigkeit und Durchsetzung der Betroffenenrechte von EU-Bürgern überwacht.
Mit der Aussage „Today, the United States has fulfilled its commitments for implementing the EU-U.S. Data Privacy Framework (EU-U.S. DPF) announced by President Joe Biden and European Commission President Ursula von der Leyen in March 2022. This represents the culmination of months of significant collaboration between the United States and the EU and reflects our shared commitment to facilitating data flows between our respective jurisdictions while protecting individual rights and personal data.“ zeigt sich die Handelsministerin der USA, Gina Raimondo, überzeugt, dass nun eine belastbare rechtliche Sicherheit bei der Datenübertragung zwischen den EU und der USA auf den Weg gebracht ist – die USA hätten ihre Vorgaben erfüllt.
Was sagt die EU?
Der Europäische Datenschutzausschuss steht der gefundenen Lösung grundsätzlich positiv gegenüber.
Mit Beschluss vom 11. Juli 2023 hat die EU nun den Angemessenheitsbeschluss nach Art. 45 DSGVO für das EU-US Data Privacy Framework erlassen. Somit gibt es einen rechtlichen Rahmen für die Übertragung von EU-Daten in die USA und die Vereinigten Staaten haben damit ein angemessenes Schutzniveau für personenbezogene Daten durch die EU bestätigt bekommen.
US-Unternehmen müssen sich demnach nur noch zertifizieren, um am EU-US Data Privacy Framework teilnehmen zu können. Da es sich dabei nur um eine Formalie handelt, werden die gängigen US-Dienste sich kurzfristig sicherlich baldmöglichst zertifizieren und unter https://www.dataprivacyframework.gov/s/ ihre Registrierung anzeigen.
Welche Risiken bzw. Kritik gibt es?
An der eigentlichen technischen Sicherheit der Datenverarbeitung hat sich erst mal nichts geändert, es geht hauptsächlich um eine juristische Sicherheit und den Entfall von umfangreichen Risikobetrachtungen oder zusätzlicher Schutzmaßnahmen.
Aber natürlich gibt es auch schon jetzt Kritik an dem Angemessenheitsbeschluss, insb. durch den Datenschutzaktivist Max Schrems, der der Meinung ist, dass das EU-US Data Privacy Framework nur alter Wein in neuen Schläuchen ist und sich aktuell nichts Essentielles an der Praxis der unkontrollierten Datenüberwachung durch US-Dienste ändert.
Zumindest vorübergehend bis zum nächsten Entscheid durch den EuGH auf Grund einer Klage durch die Datenschutz-Aktivisten wird es rechtlich mehr Sicherheit bei der Nutzung von US-Diensten durch in der EU ansässigen Unternehmen geben.
Was heißt das in der Praxis?
Mit dem durch die Europäische Kommission verabschiedeten Angemessenheitsbeschluss ergibt sich für EU-Unternehmen und Betroffene vorläufige rechtliche Sicherheit bei der transatlantischen Datenverarbeitung.
Es bleibt von den bisherigen Prüfpflichten eigentlich nur noch übrig zu prüfen, ob der in Anspruch genommene US-Anbieter auch für das Data Privacy Framework zertifiziert ist.
