EU-US Data Privacy Framework: Datentransfer in die USA

Die Europäische Kommission hat ihren Angemessenheitsbeschluss für das EU-US Data Privacy Framework (Datenschutzrahmen EU-USA) angenommen. Auf dieser Basis sollen personenbezogene Daten aus der EU an US-Unternehmen, die an diesem Rahmen teilnehmen, ohne dass zusätzliche Datenschutzgarantien eingeführt werden müssen. Zur Erinnerung, das vorherige Abkommen – bekannt als „Privacy Shield“ war im Juli 2020 vom EuGH für ungültig erklärt worden. Seitdem war der Datentransfer von personenbezogenen Daten aus der EU in die USA für Unternehmen mit einigen Hürden verbunden. So wurden für die Übermittlung personenbezogener Daten in die USA beispielsweise neben den Standardvertragsklauseln noch ergänzende Schutzmaßnahmen gefordert.

Der neue Datenschutzrahmen EU-USA soll verbindliche Garantien einführen, um den vom EuGH (Europäischen Gerichtshof) geäußerten Bedenken Rechnung zu tragen. So sei es vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf „ein notwendiges und verhältnismäßiges“ Maß beschränkt ist. Es wird ein Gericht zur Datenschutzüberprüfung geschaffen (Data Protection Review Court, DPRC) geschaffen. Zu diesem sollen Einzelpersonen in der EU Zugang haben. Würde das Gericht zur Datenschutzüberprüfung feststellen, dass bei der Datenerhebung gegen die neuen Garantien verstoßen wurde, könne dieses die Löschung der Daten anordnen. Die neuen Garantien im Bereich des staatlichen Zugriffs auf Daten sollen die Pflichten ergänzen, denen US-Unternehmen, die Daten aus der EU einführen,

US-Unternehmen können sich dem Datenschutzrahmen EU-USA anschließen. Damit verpflichten sie sich zur Einhaltung detaillierter Datenschutzpflichten. Dazu gehört beispielsweise das Löschen von personenbezogenen Daten, wenn diese für den Zweck, für den sie erhoben wurden, nicht mehr benötigt werden. Und auch weitere Datenschutzgrundsätze, wie etwa Datenminimierung, gehören zu diesen Datenschutzverpflichtungen.

Sprich, die neue Regelung ohne zusätzliche Maßnahmen gilt nur dann, wenn das Unternehmen in den USA, an die die Daten übermittelt werden, nach dem EU-U.S Data Privacy Framework zertifiziert ist. Dies müssen die entsprechenden Unternehmen in der EU vorab prüfen. Eine entsprechende Liste mit zertifizierten Organisationen wird vom U.S. Department of Commerce veröffentlicht. Das US-Handelsministerium bearbeitet die Anträge auf Zertifizierung und überwacht, ob die Unternehmen die Anforderungen weiterhin erfüllen. Ob sich die US-Unternehmen an die Verpflichtungen aus dem EU-US-Datenschutzrahmen halten, wird von US Federal Trade Commission (FTC) durchgesetzt.

Falls ihre Daten von US-Unternehmen nicht ordnungsgemäß behandelt werden, stehen EU-Bürgern mehrere Rechtsbehelfe offen. Dazu gehören kostenlose unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle.

Ursula von der Leyen, die Präsidentin der Europäischen Kommission, erklärte dazu: „Der neue Datenschutzrahmen EU-USA wird einen sicheren Datenverkehr für die Europäerinnen und Europäer gewährleisten und den Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Nach der grundsätzlichen Einigung, die ich im vergangenen Jahr mit Präsident Biden erzielt habe, haben die USA beispiellose Zusagen zur Schaffung des neuen Rahmens gemacht. Heute kommen wir einen wichtigen Schritt dabei voran, den Bürgerinnen und Bürgern Vertrauen in die Sicherheit ihrer Daten zu geben, unsere wirtschaftlichen Beziehungen zwischen der EU und den USA zu vertiefen und gleichzeitig unsere gemeinsamen Werte zu stärken. Der Rahmen zeigt, dass wir durch Zusammenarbeit die komplexesten Fragen angehen können.“

Ob der Datenschutzrahmen EU-USA funktioniert, soll regelmäßig von der Europäischen Kommission und den Vertretern der europäischen Datenschutzbehörden sowie den zuständigen US-Behörden überprüft werden. So soll die erste Überprüfung binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses erfolgen.

Der Präsident des Branchenverbandes Bitkom, Dr. Ralf Wintergerst, erklärte zum neuen Datenschutzrahmen „Mit der heutigen Veröffentlichung des Data Privacy Frameworks geht eine dreijährige Hängepartie zu Ende. Unternehmen erhalten damit grundsätzlich wieder Rechtssicherheit, wenn sie personenbezogene Daten zwischen der EU und den USA transferieren müssen. Vor allem kleine und mittelständische Unternehmen profitieren davon, dass künftig keine Einzelfallprüfungen mehr notwendig sind.“