Data Privacy Framework: EU-Kommission erklärt Datenschutz in den USA für ausreichend

Aller guten Dinge sind drei: Nach „Safe Harbor“ und „Privacy Shield“ wurde nun das dritte Datenschutzabkommen zwischen den USA und der EU verhandelt. Das EU-U.S. Data Privacy Framework soll Grundlage eines bisher nicht vorhandenen angemessenen Schutzniveaus für personenbezogene Daten beim Transfer von Europa in die USA sein.

Wozu braucht es ein Datenschutzabkommen mit den USA?

Nach Art. 44 Datenschutz-Grundverordnung (DSGVO) ist der Transfer personenbezogener Daten in Drittländer, also Länder außerhalb des Geltungsbereichs der DSGVO, nur dann zulässig, wenn ihn ein datenschutzrechtlicher Transfermechanismus autorisiert. Ein Angemessenheitsbeschluss (Art. 45 DSGVO) stellt für Unternehmen den unproblematischsten und rechtssichersten Transfermechanismus dar. Dafür muss die Europäische Kommission feststellen, dass in einem Drittland ein angemessenes Datenschutzniveau besteht. Sobald ein solcher Beschluss vorliegt, ist der Datentransfer in dieses Drittland aus rechtlicher Sicht zulässig.

Was bisher geschah

Im Hinblick auf die USA gab es bereits zwei Angemessenheitsbeschlüsse – das „Safe Harbor“-Abkommen und das „Privacy-Shield“. Das „Safe Harbor“-Abkommen wurde bereits im Jahr 2015 vom Europäischen Gerichtshof (EuGH) als unzulässig erklärt. Im Juli 2020 ereilte das „Privacy Shield“-Abkommen dasselbe Schicksal. Die Richter bemängelten vor allem die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von EU- Bürgern und kamen zu dem Schluss, dass das Datenschutzniveau in den USA nicht dem EU-Standard entsprach. Für Unternehmen war durch die EuGH-Entscheidungen große Rechtsunsicherheit beim Datentransfer zwischen der EU und den USA entstanden.

Das EU-U.S. Data Privacy Framework

Mit dem EU-U.S. Data Privacy Framework wagt die EU-Kommission nun einen dritten Versuch. Demnach sollen zukünftig Unternehmen in den USA eine Zertifizierung nach dem EU-U.S. Data Privacy Framework erhalten können. Verfügt ein US-Unternehmen darüber, wird der dort vorherrschende Datenschutzstandard im Vergleich zum EU-Standard als angemessen erachtet. Der Transfer personenbezogener Daten an entsprechend zertifizierte Unternehmen ist mithin aus datenschutzrechtlicher Sicht grundsätzlich zulässig.

Das Abkommen soll einen freien und sicheren Datentransfer zwischen Unternehmen aus dem Europäischen Wirtschaftsraum und zertifizierten US-Unternehmen garantieren. Der Kritik des EuGH an den ursprünglichen Abkommen gerecht werden will das EU-U.S. Data Privacy Framework mit einem neu aufgestellten Regelwerk sowie verbindlichen Schutzmaßnahmen, die den Zugriff der US-Nachrichtendienste auf die Daten von EU-Bürgern beschränken sollen. Dieser darf demnach ausschließlich unter Vorbehalt dringlicher Notwendigkeit und Verhältnismäßigkeit erfolgen, um die nationale Sicherheit zu gewährleisten und ohne die Rechte und Freiheiten der Betroffenen übermäßig zu verletzen.

Zudem soll ein neues, zweistufiges Rechtsbehelf-System sicherstellen, dass Beschwerden von EU-Bürgern über den Zugriff auf Daten durch US-Nachrichtendienste untersucht und behandelt werden. Zur gerichtlichen Prüfung wird in den USA ein neuer und unabhängiger „Data Protection Review Court“ ins Leben gerufen. Weiter gelten für US-Unternehmen strenge Regeln bei der Verarbeitung der aus der EU übermittelten Daten. Dazu gehört die Verpflichtung, anhand einer Selbstzertifizierung gegenüber dem US-Handelsministerium zu bestätigen, dass sie das Abkommen einhalten.

Auswirkungen auf die Praxis

Der Angemessenheitsbeschluss kommt als datenschutzrechtlicher Transfermechanismus infrage, wenn US-Unternehmen, an die personenbezogene Daten übermittelt werden sollen, über eine gültige Zertifizierung nach dem EU-U.S. Data Privacy Framework verfügen.

Liegt diese Zertifizierung nicht vor, sind weiterhin der Abschluss von Standardvertragsklauseln und die Durchführung eines Transfer Impact Assessments erforderlich. Damit ist das EU-U.S. Data Privacy Framework eine Entschärfung der Situation vieler EU-Unternehmen und aus wirtschaftlicher Sicht zu begrüßen. Insbesondere für solche EU-Unternehmen ist eine enorme Erleichterung zu erwarten, die auf Leistungen großer US-amerikanischer Softwareunternehmen setzen und dabei personenbezogene Daten in die USA übermitteln. Es bleibt jedoch abzuwarten, ob der EuGH die implementierten Datenschutzmechanismen für ausreichend erachtet.

An diesem Blog-Beitrag hat Anastasia Bondareva mitgewirkt, Praktikantin im Bereich Datenschutz.

Anbieter	Google Ireland Limited, Gordon House, 4 Barrow St, Dublin 4, Ireland
Zweck	Mit Hilfe von Google-Analytics-Cookies werden statistische Daten über die Webauftritt-Nutztung der Besucher erfasst. Google Tag Manager ist ein Tag-Management-System. Über den Google Tag Manager können Tags zentral über eine Benutzeroberfläche eingebunden werden. Tags sind kleine Codeabschnitte, die Aktivitäten verfolgen können. Über den Google Tag Manager werden Scriptcodes anderer Tools eingebunden. Der Tag Manager ermöglicht es zu steuern, wann ein bestimmtes Tag ausgelöst wird. Weiterführende Links: Cookie-Richtlinie, Datenschutzeinstellungen, Google Support Kontaktformular.
Datenschutzerklärung (URL)	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Laufzeit	2 Jahre

Anbieter	Keine Übermittlung an Drittanbieter
Zweck	Dieses Cookie ist für die Funktionalität des Content Management Systems notwendig. Zudem ist es sicherheitsrelevant und schützt u.a. vor Cross-Site-Request-Forgery.
Datenschutzerklärung (URL)	https://blog.moogpartner.de/datenschutz/
Host(s)	blog.moogpartner.de
Cookie Name	wires
Laufzeit	1 Tag

Anbieter	Keine Übermittlung an Drittanbieter
Zweck	Diese Cookies speichern die Privatssphäre-Einstellungen. Dadurch erscheint der Dialog der Privatssphäre-Einstellungen nicht bei jedem Seitenaufruf.
Datenschutzerklärung (URL)	https://blog.moogpartner.de/datenschutz/
Host(s)	blog.moogpartner.de
Cookie Name	moogblog-privacy, moog-privacy
Laufzeit	1 Jahr