Datenschutzrahmen EU-USA

informelle Vereinbarung zwischen der Europäischen Union und den Vereinigten Staaten von Amerika zum Datenaustausch

Der Datenschutzrahmen EU-USA (englisch EU-US Data Privacy Framework, DPF) ist eine informelle Vereinbarung zwischen der Europäischen Union und den Vereinigten Staaten von Amerika zum Datenaustausch. Die Vereinbarung wird durch Rechtssetzung auf beiden Seiten umgesetzt, die die Reziprozität voraussetzt. Der Datenschutzrahmen ist im Juli 2023 in Kraft getreten und ermöglicht durch die Feststellung der Angemessenheit des Datenschutzniveaus in den Vereinigten Staaten – sofern sich die Unternehmen beim Handelsministerium der Vereinigten Staaten selbstzertifiziert haben – die Übermittlung von personenbezogenen Daten aus dem Europäischen Wirtschaftsraum in die Vereinigten Staaten, ohne dass zusätzliche Datenschutzgarantien gewährleistet werden müssen.[1][2]

Flagge der Europäischen Union

Durchführungsbeschluss (EU) 2023/1795

Titel: Durchführungsbeschluss (EU) 2023/1795 der Kommission vom 10.7.2023 gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates über die Angemessenheit des Schutzniveaus für personenbezogene Daten nach dem Datenschutzrahmen EU-USA
Rechtsmaterie: Datenschutzrecht
Inkrafttreten: 10. Juli 2023
Fundstelle: ABl. L 231 vom 20.9.2023, S. 118
Volltext Konsolidierte Fassung (nicht amtlich)
Grundfassung
Regelung ist in Kraft getreten und anwendbar.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

Der Datenschutzrahmen ersetzt die Rechtsakte der Kommission zum „Sicheren Hafen“, welcher durch den Europäischen Gerichtshof 2015 für ungültig erklärt wurde, und zum „EU-US-Datenschutzschild“, welcher 2020 für ungültig erklärt wurde.

Das EU-Parlament äußerte erhebliche Zweifel daran, dass die von Ursula von der Leyen erzielte neue Vereinbarung tatsächlich mit dem EU-Recht konform ist, da sie EU-Bürger immer noch nicht ausreichend vor der Massenüberwachung durch die USA schützt und grundlegende digitale Menschenrechte in der EU nicht durchsetzt.[3] Im Mai 2023 verabschiedete das EU-Parlament mit 306 Pro- und nur 27 Contra-Stimmen eine Resolution hierzu, die jedoch bisher ohne Konsequenzen blieb[4]. Die Nichtregierungsorganisation NOYB (European Center for Digital Rights) hat angekündigt, erneut zu versuchen, die Datenübermittlung vor dem Europäischen Gerichtshof außer Kraft zu setzen.[5] Ob der Datenschutzrahmen einer Überprüfung durch den Europäischen Gerichtshof standhält ist umstritten.[6]

Geschichte

Bearbeiten

Safe-Harbor (Framework)

Bearbeiten

Mit dem am 1. Januar 2000 geschlossenen „Safe-Harbor-Abkommen“, das als Safe-Harbor Framework bekannt wurde (auf Deutsch: „sicherer Hafen“), war für alle Beteiligten eine Möglichkeit gefunden, die transatlantische Datenübertragung zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA) zu regeln.[7] Ziel des Abkommens war, dass Unternehmen in Übereinstimmung mit der europäischen Datenschutzrichtlinie persönliche Daten aus der Europäischen Union in die USA übermitteln können, um den Geschäftsverkehr mit den Vereinigten Staaten datenschutzrechtlich abzustimmen.[8] Mit dem Safe-Harbor Abkommen einigten sich die USA mit der EU-Kommission auf sieben sogenannte Safe-Harbor-Principles und fünfzehn FAQs, die als Leitlinien zur Umsetzung für die Datenexporteure und -empfänger gelten.[8] Voraussetzung für die sichere Datenübertragung unter dem Safe-Harbor Framework war, dass sich die US-amerikanischen Unternehmen, die Datenempfänger von persönlichen Daten aus Mitgliedstaaten der EU waren, verpflichteten, diese Daten nach den vorgenannten Regelungen zu schützen. Dabei konnten die Unternehmen beim Beitritt zum Safe-Harbor-Abkommen selbst entscheiden, für welche Art der personenbezogenen Daten sie die Safe-Harbor-Principles anwenden würden – also auf welche persönlichen Daten sich die Principles beziehen sollen.[8]

Schrems I

Bearbeiten

Am 6. Oktober 2015 entschied der EuGH, dass die Entscheidung 2000/520/EG der Kommission (vom 26. Juli 2000 gem. der Richtlinie 95/46) über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der FAQs (Leitlinien) gewährleisteten Schutzes ungültig ist.[9][10] Ab diesem Zeitpunkt bestand Rechtssicherheit, dass eine Datenübermittlung aus der EU in die USA, die lediglich auf die Safe-Harbor-Entscheidung gestützt wurde, ab sofort untersagt ist.[10]

Die Gründe dafür waren unter anderem, dass das Abkommen auf der Selbstzertifizierung der US-amerikanischen Unternehmen unter das Safe Harbor-Framework gestützt war und die Einhaltung der Grundsätze desselben von den amerikanischen Behörden nicht verlangt oder kontrolliert wurde.[8] Außerdem wurde in der Entscheidung der EU-Kommission zu den Grenzen des Safe-Harbor-Abkommens festgelegt, dass US-Unternehmen US-amerikanischen gesetzlichen Verpflichtungen uneingeschränkt nachkommen müssen, auch wenn diese den Grundsätzen des Safe-Harbor-Abkommens entgegenstehen.[8]

Deshalb war es unter dem Safe-Harbor-Abkommen zulässig, dass personenbezogene Daten aus der EU in die USA übermittelt wurden und dort ohne Vornahme einer etwaigen Differenzierung, Ausnahme oder Beschränkung gespeichert wurden, ohne die Möglichkeit, das Zugreifen amerikanischer Behörden zu kontrollieren, einschränken oder verhindern zu können.[8][11]

Weil die EU-Kommission im Angemessenheitsbeschluss zum Safe-Harbor-Abkommen keine Schlussfolgerung bezüglich der Auswirkungen der innerstaatlichen Gesetze in den USA auf die Angemessenheit des Schutzniveaus vornahm, erklärte der EuGH die Entscheidung der Kommission mit Verweis auf die in der Charta festgeschriebenen Grundsätze (Art. 7, Art. 47) im Ergebnis für ungültig.[8][11]

EU-US Privacy Shield

Bearbeiten

Am 12. Juli 2016 handelten die EU-Kommission und die Vereinigten Staaten dann einen neuen Rechtsrahmen zur Übermittlung von personenbezogenen Daten aus der EU in die USA zu gewerblichen Zwecken aus – mit dem EU-US Privacy Shield (auch „Datenschutzschild“ oder kurz „Privacy Shield“).[12][13] Mit dem neuen Abkommen sollten die wichtigsten Bedenken, die der EuGH mit dem Urteil „Schrems I“ 2015 aufgezeigt hatte, berücksichtigt und eingearbeitet werden, um eine dauerhafte Grundlage zur rechtssicheren Übermittlung persönlicher Daten zwischen EU und USA zu schaffen.[13] Auch das Privacy Shield beruhte auf einem Selbstzertifizierungssystem. Um dem Abkommen beizutreten, mussten sich die teilnehmenden US-Unternehmen der Beachtung der Privacy Shield Principles verpflichten und den US-amerikanischen Behörden – allen voran dem Department of Commerce (US-Handelsministerium) – unterordnen, welches das Recht hatte, die beigetretenen Unternehmen auf Einhaltung der Privacy Principles zu überprüfen.[13][14] Unternehmen, die dem Abkommen beigetreten waren und sich nicht an die Regelungen hielten, wurden aus der offiziellen Liste der teilnehmenden Firmen entfernt und mussten jegliche gespeicherte persönliche Daten löschen oder die entsprechenden Unterlagen aushändigen.[12]

Das Inkrafttreten des EU-US Privacy Shields wurde insbesondere von gewerblichen Branchen in der EU und den USA befürwortet, ließ aber gleichzeitig die kritischen Stimmen bezüglich des Datenschutzniveaus EU-USA nicht verstummen. Insbesondere einige europäische Verbraucherverbände – unter anderem der Europäische Verbraucherverband (BEUC) – und politische Entscheidungsträger in der EU hielten die Neuregelung nicht für ausreichend.[13]

Schrems II

Bearbeiten

Am 16. Juli 2020 erklärte der EuGH den Durchführungsbeschluss zum Privacy Shield für unwirksam.[15] In seinem Urteil[16] stellte der Europäische Gerichtshof erneut klar, dass personenbezogene Daten von EU-Bürgern nur dann an Drittländer übermittelt werden dürfen, sofern sie in dem Drittland einen gleichwertigen Schutz wie in der EU genießen.

Dies hat der EuGH im Fall des EU-US-Privacy Shields verneint. Denn der Beschluss ermöglichte weiterhin, dass US-Behörden fast uneingeschränkten Zugang zu personenbezogenen Daten von EU-Bürgern auf Servern in den USA haben. Der EuGH stellte fest, dass der Privacy-Shield-Beschluss 2016/1250 genauso wie sein Vorgänger, die Safe-Harbor-Entscheidung 2000/520, Eingriffe in die Grundrechte von Personen ermöglicht, deren personenbezogene Daten in die USA übermittelt werden und damit den „Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird“.[17]

Der EuGH erklärte den Durchführungsbeschluss über die Angemessenheit des EU-US Privacy Shields der Europäischen Kommission für ungültig, sodass ein sicherer Datentransfer in die USA erneut nicht mehr gegeben war.[17]

Grundsätze der Datenübermittlung EU–USA

Bearbeiten

Eine Datenübermittlung aus der EU in ein Drittland ist nach der Datenschutzgrundverordnung nur dann zulässig, wenn das Drittland neben den allgemeinen Grundsätzen der DSGVO zusätzlich ein angemessenes Datenschutzniveau gewährleisten kann oder der für die Daten Verantwortliche (Datenexporteur) geeignete Garantien für die Einhaltung des Datenschutzes gibt.[18] Angemessen ist das Schutzniveau des Drittlandes nur dann, wenn es dem gewährleisteten Schutzniveau innerhalb der EU der Sache nach gleichwertig ist.[18] Dann kann die Europäische Kommission dies durch einen Angemessenheitsbeschluss festlegen, der es ermöglicht, dass für die Datenübermittlung in dieses Drittland keine zusätzlichen Schutzmaßnahmen durch geeignete Garantien getroffen werden müssen.[19] Wenn ein Drittland einem Angemessenheitsbeschluss unterliegt, müssen also keine zusätzlichen Maßnahmen ergriffen werden, um den Schutz der personenbezogenen Daten zu gewährleisten.[19]

In der Vergangenheit haben sich Unternehmen, die Datentransfers personenbezogener Daten zwischen der EU und den USA vornahmen, wegen der Verwerfung des Privacy Shield-Beschlusses überwiegend auf die von der Kommission zur Verfügung gestellten Standardvertragsklauseln gestützt und zusätzlich zum Beispiel Transfer Impact Assessments (TIA) (Bewertung des Schutzniveaus für Datenübermittlung) durchgeführt, um geeignete Garantien für die Wahrung des Datenschutzes zu gewährleisten.[18] Selbst dann befand sich die Datenübermittlung in die USA in einer rechtlichen Grauzone.[10]

Durchführungsrechtsakt: Angemessenheitsbeschluss

Bearbeiten

Aufgrund von Angemessenheitsbeschlüssen können personenbezogene Daten frei und sicher aus dem Europäischen Wirtschaftsraum (EWR), zu dem die 27 EU-Mitgliedstaaten, Norwegen, Island und Liechtenstein gehören, in ein Drittland übermittelt werden, ohne dass weitere Maßnahmen oder Genehmigungen notwendig sind.[1]

Es liegt in der Zuständigkeit der EU-Kommission, auf der Grundlage von Art. 45 der EU-Verordnung 2016/679 zu entscheiden, ob ein Drittland außerhalb der EU ein angemessenes Datenschutzniveau gewährleistet.[20] Für einen Angemessenheitsbeschluss bedarf es unter anderem eines Vorschlags der EU-Kommission, einer Stellungnahme des EDSA (Europäischer Datenschutzausschuss) und einer Zustimmung der Vertreter der EU-Länder.[20]

Regelungen des EU-US Data Privacy Framework

Bearbeiten

Als Nachfolger des EU-US Privacy Shield trat am 10. Juli 2023 das EU-US Data Privacy Framework in Kraft, als die Europäische Kommission den Angemessenheitsbeschluss für den neuen Datenschutzrahmen EU-USA annahm.[1] Demnach können die USA ein im Vergleich zur EU angemessenes Schutzniveau für personenbezogene Daten sicherstellen. Dieses richtet sich an alle Unternehmen, die am neuen Datenschutzrahmen zwischen EU und USA teilnehmen.[1] Eine Zertifizierung und die Teilnahme nach dem DPF können US-Unternehmen bescheinigen, wenn sie sich dazu verpflichten, detaillierte Datenschutzpflichten einzuhalten.[1]

Um die vom EuGH im Schrems-I-Urteil erneut aufgezeigten Problematiken zu berücksichtigen, wurden neue verbindliche Garantien eingeführt, welche in der „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ von der USA als Grundlage des Angemessenheitsbeschlusses unterzeichnet wurden.[1] Dadurch sollen US-Nachrichtendienste nur auf personenbezogene Daten aus der EU zugreifen können, wenn dies notwendig und verhältnismäßig ist.[1]

Außerdem sollen EU-Bürger eine Reihe neuer Rechte gegenüber US-Unternehmen (Datenempfängern) zur Verfügung stehen, die es möglich machen sollen, den Zugang zu ihren Daten, die Löschung oder die Berichtigung unrichtiger oder unrechtmäßiger Daten durchzusetzen und dafür verschiedene Rechtsbehelfe offenhalten, unter anderem durch eine Schiedsstelle sowie unentgeltliche und unabhängig Streitbeilegungsmechanismen.[1]

Die Anträge US-amerikanischer Unternehmen werden vom Handelsministerium der Vereinigten Staaten verwaltet, bearbeitet und dahingehend überwacht, dass die zertifizierten Unternehmen die Anforderungen nach Abschluss der Zertifizierung weiterhin erfüllen. Dazu gehört ebenso eine jährliche Re-Zertifizierung jedes teilnehmenden US-Unternehmens.[1] Die Liste der DPF-zertifizierten Unternehmen ist auf der offiziellen Seite des Data Privacy Frameworks aufruf- und durchsuchbar.[21][22]

Auch in Bezug auf den neuesten transatlantischen Datenschutzrahmen gab es bereits herbe Kritik vom Europäischen Parlament.[23] Der Grund bleibt wie bei den Vorgängerabkommen gleich: US-Geheimdienste hätten nach wie vor weitreichenden Zugriff auf personenbezogene Daten von EU-Bürgern. Der Jurist Max Schrems, der als Kläger beider Verfahren „Schrems I und II“ die beiden Vorgänger des Data Privacy Frameworks zu Fall gebracht hat, teilt diese Ansicht ebenfalls und hat bereits angekündigt, gegen den aktuellen Nachfolger zu klagen. Absehbar ist zum jetzigen Zeitpunkt bereits, dass auch die Gültigkeit des EU-US Data Privacy Framework vor dem EuGH entschieden wird.[24]

Literatur

Bearbeiten
  • Fanderl, Niclas, von Blumenthal: Vorstellung des EU-US Data Privacy Shield Frameworks als Privacy-Shield Nachfolger. In: ITRB. Heft Nr. 02, 2023, S. 29.[18]
  • Schuster, Hunzinger: Zulässigkeit von Datenübertragung in die USA nach dem Safe-Harbor-Urteil. In: Computer und Recht. Heft Nr. 12, 2015, S. 787.[10]
  • Schneider: Handbuch EDV-Recht. 5. Auflage. 2017, S. Rn. 413.[7]
  • Mathias Lejeune: Datentransfer in die USA nach der EuGH-Entscheidung zum Safe-Harbor Framework. In: ITRB. Heft Nr. 11, 2015, S. 249–272.[8]
  • Mathias Lejeune: Der EU-US Privacy Shield: eine neue Grundlage zum Datenaustausch mit den USA. In: ITRB. Heft Nr. 11, 2015, S. 193–216.[12]

Einzelnachweise

Bearbeiten
  1. a b c d e f g h i Fragen und Antworten: Datenschutzrahmen EU-USA. In: Europäische Kommission. Europäische Union, 10. Juli 2023, abgerufen am 1. August 2023 (deutsch).
  2. Datenschutz: Europäische Kommission erlässt neuen Angemessenheitsbeschluss für einen sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA. In: Europäische Kommission. Europäische Union, 10. Juli 2023, abgerufen am 1. August 2023 (deutsch).
  3. Angenommene Texte - Angemessenheit des vom Datenschutzrahmen EU-USA gebotenen Schutzes - Donnerstag, 11. Mai 2023. Abgerufen am 30. Mai 2024.
  4. Procedure File: 2023/2501(RSP) | Legislative Observatory | European Parliament. Abgerufen am 30. Mai 2024.
  5. Europäische Kommission gibt EU-US-Datentransfers 3. Runde beim EuGH. Abgerufen am 30. Mai 2024.
  6. Carola Sieling, Holger Bleich, Joerg Heidrich: Das EU-US Data Privacy Framework. In: heise online (Hrsg.): Auslegungssache: Der Datenschutz-Podcast des c’t Magazins. Nr. 93. Heise Gruppe, Hannover 22. September 2023 (heise.de [MP3; 61,8 MB]).
  7. a b Jochen Schneider: Datenschutz Grundlagen. In: Jochen Schneider (Hrsg.): Handbuch EDV-Recht - IT-Recht mit IT-Vertragsrecht, Datenschutz, Rechtsschutz und E-Business. 5. Auflage. Verlag Dr. Otto Schmidt KG, 2017, ISBN 978-3-504-38458-6, S. 105, Rn. 413, doi:10.9785/9783504384586-003, urn:nbn:de:101:1-201803217313.
  8. a b c d e f g h Lejeune: Datentransfer in die USA nach der EuGH-Entscheidung zum Safe-Harbor Framework. In: ITRB. Heft, Nr. 11, 2015, S. 249–272.
  9. CURIA - Ergebnisliste. Abgerufen am 3. August 2023.
  10. a b c d Fabian Schuster, Sven Hunzinger: Zulässigkeit von Datenübertragung in die USA nach dem Safe-Harbor-Urteil. In: Computer und Recht. Band 31, Nr. 12. Verlag Dr. Otto Schmidt KG, 15. Dezember 2015, S. 787, doi:10.9785/cr-2015-1208.
  11. a b PRESSEMITTEILUNG Nr. 117/15. In: Curia. Gerichtshof der Europäischen Union, 6. Oktober 2015, abgerufen am 3. August 2023.
  12. a b c Lejeune: Der EU-US Privacy Shield: eine neue Grundlage zum Datenaustausch mit den USA. In: ITRB. Heft, Nr. 11, 2015, S. 193–216.
  13. a b c d Shara Monteleone, Laura Puccio: Vom Safe Harbor zum Datenschutzschild - Fortschritte und Mängel der neuen EU-US-Datenübertragungsregelung. Europäisches Parlament, 2017, abgerufen am 3. August 2023 (deutsch).
  14. DURCHFÜHRUNGSBESCHLUSS (EU) 2016/1250 DER KOMMISSION. In: Amtsblatt der Europäischen Union. 2016, abgerufen am 3. August 2023 (deutsch).
  15. PRESSEMITTEILUNG Nr. 91/20. In: Curia. Gerichtshof der Europäischen Union, 16. Juli 2020, abgerufen am 3. August 2023 (deutsch).
  16. Urteil des Gerichtshofs (Große Kammer) vom 16. Juli 2020. In: EUR-Lex. 2020, abgerufen am 3. August 2023 (deutsch).
  17. a b PRESSEMITTEILUNG Nr. 91/20. In: Curia. Gerichtshof der Europäischen Union, 16. Juli 2020, abgerufen am 3. August 2023 (deutsch).
  18. a b c d Lilian Fanderl, Vilma Niclas, German von Blumenthal: Vorstellung des EU-US Data Privacy Shield Frameworks als Privacy-Shield Nachfolger. In: ITRB. Band 2023, Nr. 2. Verlag Dr. Otto Schmidt, 1. Februar 2023, S. 29 (otto-schmidt.de).
  19. a b Welche Vorschriften gelten, wenn meine Organisation Daten nach außerhalb der EU übermittelt? Abgerufen am 3. August 2023.
  20. a b Adequacy decisions. Abgerufen am 3. August 2023 (englisch).
  21. Data Privacy Framework Program. Abgerufen am 3. August 2023.
  22. Data Privacy Framework Participant Search. Abgerufen am 3. August 2023.
  23. Europäisches Parlament: Entschließung des Europäischen Parlaments vom 11. Mai 2023 zur Angemessenheit des vom Datenschutzrahmen zwischen der EU und den USA gebotenen Schutzes. In: Angenommene Texte. P9_TA(2023)0204, 11. Mai 2023 (europa.eu).
  24. Stefan Beutelsbacher: Es geht um die Zukunft der EU-Bürger und der US-Tech-Giganten. In: Die Welt. Axel Springer Deutschland GmbH, 17. Juli 2023, abgerufen am 3. August 2023.