Die EU-Kommission hat am 10.07.2023 den Angemessenheitsbeschluss für den neuen EU-US-Datenschutzrahmen angenommen. Damit ist ein Stück der drei Jahre andauernden Ungewissheit bezüglich der Datenübermittlung zwischen der EU und den USA beseitigt, allerdings sind nicht alle Fragen geklärt.
1. Überblick – Von „Safe Harbor“ bis heute
Der Umgang mit personenbezogenen Daten (Art. 4 Nr. 1 DSGVO) wird innerhalb der EU durch die DSGVO geregelt, die ein einheitliches Schutzniveau gewährleistet. Probleme können aber entstehen, wenn personenbezogene Daten in Staaten außerhalb der EU, sogenannte „Drittstaaten“, übermittelt werden. Außerhalb der EU endet der räumliche Geltungsbereich der DSGVO und es droht dort unter Umständen eine Verschlechterung des Schutzes der übermittelten Daten. Den Datenverkehr rechtskonform zu gestalten, wird für Unternehmen daher schwieriger, wenn Berührungspunkte mit Drittstaaten bei der Datenverarbeitung entstehen. So müssen zum Beispiel besondere Risiko- und Sicherheitsanalysen von den Unternehmen durchgeführt werden.Die DSGVO sieht eine Erleichterungsmöglichkeit für die Datenübermittlung in Drittstaaten vor. Nach Art. 45 Abs. 1 DSGVO ist die Datenübermittlung in Drittstaaten ohne weitere Genehmigung zulässig, wenn die EU-Kommission beschlossen hat, dass der jeweilige Drittstaat ein angemessenes Schutzniveau hat. Solche Beschlüsse werden Angemessenheitsbeschlüsse genannt
Die DSGVO sieht eine Erleichterungsmöglichkeit für die Datenübermittlung in Drittstaaten vor. Nach Art. 45 Abs. 1 DSGVO ist die Datenübermittlung in Drittstaaten ohne weitere Genehmigung zulässig, wenn die EU-Kommission beschlossen hat, dass der jeweilige Drittstaat ein angemessenes Schutzniveau hat. Solche Beschlüsse werden Angemessenheitsbeschlüsse genannt.
Zur Annahme eines solchen Angemessenheitsbeschlusses kam es nun am 10.07.2023 im Hinblick auf die USA als Drittstaat. Auslöser war die Unterzeichnung eines Dekrets seitens der Vereinigten Staaten, mit welchem verbindliche Garantien im Hinblick auf den Datenschutz bestimmt wurden. Der EU-US-Datenschutzrahmen soll eine dreijährige Ungewissheit beenden, die durch das sogenannte „Schrems-II-Urteil“ des EuGH aus dem Jahre 2016 zurückzuführen war, durch die sein Vorläufer „Privacy Shield“ (2015) gekippt wurde. Damit widerfuhr dem „Privacy Shield“ dasselbe wie dessen Vorgänger „Safe Harbor“ (2000), der mit dem „Schrems-I-Urteil“ sein Ende fand.
2. Die Schrems-Entscheidungen
Die „Schrems-Entscheidungen“ führten letztendlich zum neuen EU-US-Datenschutzrahmen, da sie die beiden Vorgänger zu Fall brachten. Es handelt sich um Entscheidungen des EuGH im Wege des Vorlageverfahrens, die auf das Bestreben des österreichischen Juristen Maximilian Schrems gegen Datenverarbeitung bei Facebook Ireland Limited zurückzuführen sind.
a.) Schrems-I (EuGH (Große Kammer), Urteil vom 6.10.2015 – C-362/14; NJW 2015, 3151)
Die erste der beiden Entscheidungen stammt aus dem Jahr 2015 kippte die bis dahin zwischen den USA und der EU geltende „Safe-Harbor“-Entscheidung aus dem Jahr 2000, mit der Begründung, dass das Datenschutzniveau nicht ausreichend sei. Da es die DSGVO zu diesem Zeitpunkt noch nicht gab, konzentrierte sich der Prüfungsmaßstab des Gerichts auf die Art. 7, 8 und 47 der GR-Charta. Die vom EuGH gerügten Punkte betrafen insbesondere, dass nur zertifizierte Unternehmen an „Safe Harbor“ gebunden waren und Datenschutzbelange prinzipiell zurückstehen, wenn die nationale Sicherheit oder das öffentliche Interesse dies erfordern.
So heißt es in Entscheidungsgrund 87 etwa:
„Angesichts ihres generellen Charakters ermöglicht die Ausnahme in Absatz 4 von Anhang I der Entscheidung 2000/520 es daher, gestützt auf Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder von Rechtsvorschriften der Vereinigten Staaten in die Grundrechte der Personen einzugreifen, deren personenbezogene Daten aus der Union in die Vereinigten Staaten übermittelt werden oder werden könnten. Für die Feststellung des Vorliegens eines Eingriffs in das Grundrecht auf Achtung der Privatsphäre kommt es nicht darauf an, ob die betreffenden Informationen über die Privatsphäre sensiblen Charakter haben oder ob die Betroffenen durch den Eingriff Nachteile erlitten haben könnten (EuGH, ECLI:EU:C:2014:238 = NJW 2014, 2169 = EuZW 2014, 459 Rn. 33 mwN – Digital Rights Ireland ua).“
Und in Entscheidungsgrund 89:
„Hinzu kommt, dass die Entscheidung 2000/520 keine Feststellung zum Bestehen eines wirksamen gerichtlichen Rechtsschutzes gegen derartige Eingriffe enthält.“
Das Gericht kam zu dem Schluss, „dass die Entscheidung 2000/520 ungültig ist.“ (Entscheidungsgrund 106).
b.) Schrems II (EuGH Urt. v. 16.7.2020 – C-311/18, GRUR-RS 2020, 16082)
In eine ähnliche Richtung ging auch die Schrems-II-Entscheidung aus dem Jahr 2020, welche die auf „Safe Harbor“ folgende „Privacy-Shield“-Entscheidung der Kommission für ungültig befand. Kritikpunkte dieser Entscheidung waren der Einsatz von Überwachungsprogrammen seitens der US-Nachrichtendienste und unzureichende Rechtsbehelfe für Bürger der europäischen Union.
So heißt es etwa in Entscheidungsgrund 181:
„Nach den Feststellungen im DSS-Beschluss müssen die auf Section 702 des FISA gestützten Überwachungsprogramme zwar unter Beachtung der aus der PPD-28 folgenden Anforderungen durchgeführt werden. Während die Kommission in den Erwägungsgründen 69 und 77 des DSS-Beschlusses hervorgehoben hat, dass solche Anforderungen für die amerikanischen Nachrichtendienste verbindlich seien, hat die amerikanische Regierung jedoch auf eine Frage des Gerichtshofs eingeräumt, dass die PPD-28 den betroffenen Personen keine Rechte verleihe, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden könnten. Folglich ist die PPD-28 nicht geeignet, ein Schutzniveau zu gewährleisten, das dem aus der Charta resultierenden Niveau der Sache nach gleichwertig wäre; dies steht im Widerspruch zu Art. 45 Abs. 2 Buchst. a der DSGVO, wonach die Feststellung dieses Niveaus u. a. davon abhängt, ob die Personen, deren Daten in das fragliche Drittland übermittelt wurden, über wirksame und durchsetzbare Rechte verfügen.“
Und in den Entscheidungsgründen 184 – 186:
„Folglich ist davon auszugehen, dass weder Section 702 des FISA noch die E.O. 12333 in Verbindung mit der PPD-28 den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Mindestanforderungen genügen, so dass nicht angenommen werden kann, dass die auf diese Vorschriften gestützten Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt sind.
Unter diesen Umständen sind die von der Kommission im DSS-Beschluss bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in die Vereinigten Staaten übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach Art. 52 Abs. 1 Satz 2 der Charta bestehenden Anforderungen der Sache nach gleichwertig wären.
Was zweitens Art. 47 der Charta anbelangt, der ebenfalls für das in der Union erforderliche Schutzniveau maßgebend ist und dessen Einhaltung die Kommission feststellen muss, bevor sie einen Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 der DSGVO erlässt, ist darauf hinzuweisen, dass nach Art. 47 Abs. 1 der Charta jede Person, deren durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden sind, das Recht hat, nach Maßgabe der in diesem Artikel vorgesehenen Bedingungen bei einem Gericht einen wirksamen Rechtsbehelf einzulegen. Nach Art. 47 Abs. 2 hat jede Person ein Recht darauf, dass ihre Sache vor einem unabhängigen und unparteiischen Gericht verhandelt wird.“
3. Datenschutzrahmen vom 10.07.2023
Der Datenschutzrahmen vom 10.07.2023 soll den Rügen des EuGH, insbesondere aus der „Schrems-II“-Entscheidung, gerecht werden. Dem neuen Abkommen ging ein Dekret von US-Präsident Biden vom 07.10.2022 voraus, in welchem Schutzmaßnahmen zur Wahrung der Privatsphäre und des Datenschutzes bezüglich der Tätigkeit von Nachrichtendiensten verankert wurden.
Der Datenschutzrahmen sieht nunmehr verbindliche Garantien vor, dass die Eingriffe von US-Behörden in die personenbezogenen Daten im Sinne der Verhältnismäßigkeit und Notwendigkeit beschränkt werden sollen und EU-Bürger die Möglichkeit einer Beschwerde gegen die Verarbeitung ihrer personenbezogenen Daten haben, die zunächst vom „Civil Liberties Protection Officer“ (Bürgerbeauftragter der Nachrichtendienste der USA) und bei Anfechtung anschließend von einem unabhängigen Gericht geprüft wird. Außerdem soll die Tätigkeit der Nachrichtendienste stärker überwacht werden.
4. Praktische Bedeutung für Unternehmen
Das Zertifizierungsverfahren aus „Privacy Shield“ wird beibehalten, was bedeutet, dass sich US-Unternehmen mittels einer Verpflichtungserklärung zur Einhaltung des Datenschutzrahmens zertifizieren können.
Zwischen zertifizierten Unternehmen und EU-Unternehmen gilt dann der Datenschutzrahmen und es bedarf zur Datenübermittlung keiner besonderen Genehmigung mehr, ebenso wenig wie Standarddatenschutzklauseln und weiteren Garantien.
Die europäischen Unternehmen müssen demnach prüfen, ob sie sich auf den Datenschutzrahmen stützen dürfen, also insbesondere, ob das jeweilige US-Unternehmen zertifiziert ist. Eine entsprechende Liste ist auf der Webseite des US-Handelsministerium, welches auch die Einhaltung des Abkommens jährlich überwacht.
Ist ein Unternehmen nicht zertifiziert, so sind weiterhin Standardklauseln (das sind Garantien im Sinne des Art. 46 DSGVO) und eine entsprechend dokumentierte Abwägung erforderlich. Dabei muss seitens der Unternehmen ein sogenanntes „TIA“ (Transfer Impact Assessment) ausgearbeitet werden, was eine Analyse des jeweiligen Sicherheitsniveaus des Drittstaates darstellt.
Besondere Fallstricke können sich im Bereich externer Dienste wie etwa Google ergeben. Hier sind Unternehmen gehalten genau zu prüfen, welche konkreten Google-Dienste verwendet werden und ob deren jeweilige Betreiber zertifiziert sind. In bestimmten Konstellationen kann zudem eine Einwilligung des Nutzers für die konkrete Datenverarbeitung erforderlich sein.
5. Ausblick
Ob der EU-US-Datenschutzrahmen dauerhaft Bestand hat, bleibt abzuwarten. Eine der Hauptkritikpunkte daran ist, dass die Zertifizierung ohne jegliche Prüfung vorgenommen werden kann, ähnlich wie beim Privacy Shield. Gesetzlich garantierte Kontroll- und Prüfmechanismen seitens der Betroffenen oder Datenversender aus der EU bei den zertifizierten Datenimporteuren und -verarbeitern in den USA gibt es nicht. Herr Schrems hat bereits angekündigt, auch gegen diese EU-Kommissionsentscheidung vorgehen zu wollen. Es ist folglich nicht auszuschließen, dass es auf absehbare Zeit zu einer „Schrems-III-Entscheidung“ des EuGH kommt.