Data Privacy Framework erleichtert den Datentransfer in die USA

Die Europäische Kommission hat einen neuen Datenschutzrahmen zwischen der EU und den USA gebilligt. Mit dem „EU-U.S. Data Privacy Framework“ (DPF) erhalten Unternehmen eine neue Rechtsgrundlage für die Übertragung personenbezogener Daten aus der EU in die USA. Vor allem für kleine und mittelständische Unternehmen bedeutet das Abkommen eine enorme Entlastung, da künftig keine Einzelfallprüfungen mehr notwendig sind.

Es ist bereits der dritte Anlauf, einen rechtssicheren Datentransfer zwischen Europa und den USA zu gewährleisten. 2020 hatte der Europäische Gerichtshof (EuGH) auf Betreiben von Datenschutzaktivisten das Abkommen Privacy Shield für rechtswidrig erklärt. Bereits im Jahr 2016 hatten die Richter des europäischen Gerichts das Vorgängerabkommen Safe Harbour gekippt.

Nach Safe Harbor und Privacy Shield wird nun zum dritten Mal versucht, einen Kompromiss zwischen dem hohen Schutzstandard des europäischen Datenschutzrechts und der amerikanischen Überwachung zu finden. Die Vorgängerabkommen waren gescheitert, da sie laut Europäischem Gerichtshof gegen elementare Regeln der EU-Datenschutzgrundverordnung (DSGVO) verstießen.

Die Richter des EuGHs begründeten ihre Entscheidung damit, dass die Abkommen personenbezogene Daten europäischer Bürger bei einer Übermittlung in die USA nicht ausreichend geschützt hätten. US-amerikanischen Interessen, was beispielsweise die nationale Sicherheit angeht, wäre Vorrang eingeräumt worden. Außerdem sei die Verhältnismäßigkeit des Datenzugriffs nicht gewährleistet worden. Eine Nutzung der Daten müsse laut DSGVO auf das zwingend erforderliche Maß beschränkt werden. Das sei in den USA gerade hinsichtlich der Aktivitäten der Geheimdienste nicht der Fall. Außerdem gäbe es für Nicht-US-Bürger, die von diesen Programmen erfasst würden, keine Garantien und keine Möglichkeit, ihre Rechte gegenüber den US-Behörden gerichtlich durchzusetzen.

Mit der Verabschiedung des Data Privacy Frameworks geht eine dreijährige Hängepartie zu Ende. Unternehmen erhalten damit grundsätzlich wieder Rechtssicherheit, wenn sie personenbezogene Daten zwischen der EU und den USA transferieren möchten. Vor allem kleine und mittelständische Unternehmen profitieren davon, dass künftig keine Einzelfallprüfungen mehr notwendig sind.

Das EU-U.S. Data Privacy Framework bildet die Grundlage für einen im Juni 2023 gefassten Beschluss der Europäischen Kommission, in dem das Datenschutzniveau für zertifizierte Unternehmen in den USA für angemessen erklärt wird. Der sogenannte Angemessenheitsbeschluss legt fest, dass ein Drittland ein der Datenschutz-Grundverordnung vergleichbares, angemessenes Schutzniveau für personenbezogene Daten bietet, die EU-Firmen dorthin transferieren. Da­mit be­steht für die Über­mitt­lung per­so­nen­be­zo­ge­ner Da­ten an US-Un­ter­neh­men, die sich im Rah­men des neuen Pri­vacy Frame­works zer­ti­fi­ziert ha­ben, ein an­ge­mes­se­nes Da­ten­schutz­ni­veau.

Mit dem EU-U.S. Data Privacy Framework wurden neue verbindliche Garantien eingeführt, um alle vom Europäischen Gerichtshof geäußerten Bedenken auszuräumen:

• Der Zugriff von US-Geheimdiensten auf EU-Daten wird auf ein notwendiges und verhältnismäßiges Maß beschränkt.
• Ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court) wird eingerichtet, zu dem EU-Bürger Zugang haben. Das Gericht kann bei Verstößen eine Löschung der Daten anordnen.
• Es gelten strenge Verpflichtungen für US-Unternehmen, die aus der EU übermittelte Daten verarbeiten. Dazu gehört die Verpflichtung, die Einhaltung des Abkommens gegenüber dem US-Handelsministerium anhand einer Selbstzertifizierung zu bestätigen.

Auf Basis des neuen Abkommens können Daten wieder frei und sicher zwischen der EU und den teilnehmenden US-Unternehmen fließen, ohne dass weitere Übermittlungsinstrumente oder zusätzliche Maßnahmen erforderlich sind. Dies gilt jedoch nur, sofern die Organisation, an die sie übermittelt werden, auch unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Die Selbstzertifizierung ist notwendig, da die USA über kein allgemein gültiges umfassendes Datenschutzgesetz verfügen. Neben den EU-Mitgliedern sind auch Norwegen, Liechtenstein und Island an der Vereinbarung mit den USA beteiligt.