Blog
Hinweis: Beiträge werden automatisch aus dem Englischen übersetzt. Für den Originalinhalt besuchen Sie bitte unsere englische Seite. Einige Übersetzungen sind möglicherweise nicht perfekt; wir danken Ihnen für Ihr Verständnis.
picture

EU-Kommission nimmt Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen an

Women called Charlotte in a pantsuit.

Charlotte Mason

Die Europäische Kommission hat ihren lang erwarteten Angemessenheitsbeschluss über den EU-US-Datenschutzrahmen**(EU-U.S. DPF**) angenommen. Dies bedeutet, dass ab dem 10. Juli 2023 Übermittlungen personenbezogener Daten aus der EU an Organisationen in den USA, die als Teilnehmer des EU-US-Datenschutzrahmens zertifiziert wurden, auf der Grundlage des Angemessenheitsbeschlusses erfolgen können, ohne dass zusätzliche Übermittlungsinstrumente (z. B. SCCs oder BCRs) herangezogen werden müssen und ohne dass eine Folgenabschätzung für die Übermittlung durchgeführt oder weitere ergänzende Maßnahmen erwogen werden müssen.

Hintergrund der Entscheidung

Das EU-US-DSGVO ist ein Ersatz für das Privacy Shield Framework, das der Europäische Gerichtshof (EuGH) im Juli 2020 als Mechanismus für die Übermittlung personenbezogener Daten aus der EU in die USA für ungültig erklärt hat (C-311/2 “Schrems II”). In seiner Entscheidung wies der EuGH auf erhebliche Probleme mit den US-Gesetzen hin, die es den Empfängern von Daten in den USA unmöglich machten, einen im Wesentlichen gleichwertigen Datenschutzstandard wie in der EU zu gewährleisten. Zu diesen Problemen gehörten die weitreichenden Möglichkeiten der US-Geheimdienste, auf der Grundlage von Abschnitt 702 des Foreign Intelligence Surveillance Act ( FISA 702 ) und der Executive Order 12333 auf personenbezogene Daten zuzugreifen, ohne dass den betroffenen Personen in der EU angemessene Mechanismen zur Überwachung oder zum Rechtsschutz zur Verfügung stehen.

Im Oktober 2022 unterzeichnete Präsident Biden die Executive Order (EO) 14086 “Enhancing Safeguards for United States Signals Intelligence Activities”, mit der ein neues Regelwerk und verbindliche Garantien geschaffen wurden, um den Datenzugriff der US-Nachrichtendienste auf das zu beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist, und mit der die US-Nachrichtendienste angewiesen wurden, Verfahren einzuführen, die eine wirksame Überwachung der neuen Datenschutz- und Bürgerrechtsstandards gewährleisten. Darüber hinaus wurde ein neues zweistufiges Rechtsbehelfssystem zur Untersuchung und Beilegung von Beschwerden von Einzelpersonen in der EU im Zusammenhang mit dem Zugriff durch US-Geheimdienste eingeführt, einschließlich eines neu gegründeten und unabhängigen Datenschutzprüfungsgerichts.

Das EU-U.S. DPF, das sich weitgehend auf EO 14086 stützt, wurde vom US-Handelsministerium und der Europäischen Kommission entwickelt, um US-Organisationen verlässliche Mechanismen für die Übermittlung personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten zu bieten und gleichzeitig einen Datenschutz zu gewährleisten, der mit dem der EU übereinstimmt.

Wie funktioniert der EU-US-Datenschutzrahmen?

Um in den Genuss des Rahmens zu kommen, müssen in den USA ansässige Organisationen ihre Verpflichtung zur Einhaltung der dem EU-U.S.-Datenschutzrahmen zugrunde liegenden Datenschutzprinzipien bestätigen. Diese Grundsätze spiegeln weitgehend Konzepte aus der EU-Datenschutz-Grundverordnung wider, darunter Grundsätze wie Zweckbindung, Datenrichtigkeit, Datenminimierung und Sicherheit, auch wenn sie keine Kopie sind. US-Organisationen, die sensible personenbezogene Daten verarbeiten, müssen außerdem besondere Schutzmaßnahmen zum Schutz dieser Informationen ergreifen. Die Transparenzverpflichtungen des Rahmens verlangen von den zertifizierten Organisationen, dass sie ihre Teilnahme an den Grundsätzen der EU-US-DSGVO in ihren Datenschutzhinweisen öffentlich bestätigen und neben anderen Informationen auch die Rechtsbehelfe der EU-Bürger darlegen.

Die Zertifizierung kann online über die Website des Data Privacy Framework erfolgen. Obwohl es sich um ein Verfahren der Selbstzertifizierung handelt, muss jeder Antrag von der Datenschutzbehörde genehmigt werden und ist erst dann aktiv, wenn er geprüft und akzeptiert wurde. Eine erneute Zertifizierung ist jährlich erforderlich, zusammen mit der Zahlung der entsprechenden Gebühren, die, wie beim Privacy Shield, nach der Größe der Organisation gestaffelt sind. Die wichtigsten Anforderungen für Organisationen, die sich zertifizieren lassen wollen, finden Sie hier. Das Antragsverfahren ist jetzt eröffnet, obwohl es abzuwarten bleibt, wie viele Organisationen sich beeilen werden, um sich anzumelden, und welcher Rückstau dadurch beim DoC in Bezug auf die Prüfung und Bewilligung von Anträgen entstehen könnte.

Ist dies das Ende der Standardvertragsklauseln für Überweisungen in die Vereinigten Staaten?

Nicht unbedingt. Die Zertifizierung im Rahmen der EU-US DPF ist freiwillig. Verbringungen an in den USA ansässige Organisationen, die nicht an der EU-US-DSGVO teilnehmen, können nicht auf der Grundlage der Angemessenheitsentscheidung erfolgen. Für solche Übermittlungen muss der Exporteur nach wie vor geeignete Schutzmaßnahmen wie SCC oder verbindliche unternehmensinterne Vorschriften einführen, und bei der Verwendung von SCC müssen nach wie vor Folgenabschätzungen für die Übermittlung durchgeführt werden (TIA). Der Europäische Datenschutzausschuss (EDPB) hat jedoch kürzlich erklärt, dass*“alle von der US-Regierung im Bereich der nationalen Sicherheit eingeführten Schutzmaßnahmen (einschließlich des Rechtsbehelfsverfahrens) für alle in die USA übermittelten Daten gelten, unabhängig vom verwendeten Übermittlungsinstrument”.* Das bedeutet, dass ein Unternehmen, das Daten aus der EU in die USA exportiert, bei der Durchführung einer TIA und der Bewertung der Wirksamkeit der SCCs als das gewählte Transferinstrument nach Artikel 46 die von der Kommission in der Angemessenheitsentscheidung vorgenommene Bewertung berücksichtigen kann. Die Leitlinien des EDSB legen jedoch nahe, dass die Reformen der US-Gesetze denjenigen zugute kommen werden, die bei der Bewertung des Schutzniveaus von Daten, die an in den USA ansässige Unternehmen übermittelt werden, weiterhin auf SCCs zurückgreifen.

Was bedeutet dies für das EU-US Privacy Shield Framework?

Das US-Handelsministerium hat bestätigt, dass Teilnehmer am Privacy Shield, die ihre Zertifizierungen aufrechterhalten haben, sich ab sofort auf das EU-U.S.-Datenschutzschild berufen können. Diese Organisationen müssen sicherstellen, dass sie die Grundsätze der EU-US-DSGVO einhalten (die sich eng an die des Privacy Shield anlehnen), und vor allem müssen sie ihre Datenschutzhinweise aktualisieren, damit sie sich bis zum 10. Oktober 2023 auf die EU-US-DSGVO und ihre Grundsätze berufen können. Alle Datenverarbeitungsverträge, die sich auf das Privacy Shield beziehen, müssen ebenfalls geändert werden.

Die Umstellung auf die EU-US-DSGVO ändert nichts am Fälligkeitsdatum für die Neuzertifizierung einer Organisation (d. h. ihre Neuzertifizierung für das Privacy Shield bleibt auch in Zukunft für die EU-US-DSGVO gültig). Organisationen, die die Grundsätze der EU-US-DSGVO nicht einhalten wollen, müssen ein Widerrufsverfahren durchlaufen. Das Erlöschen der Zertifizierung gilt nicht als Rücktritt und kann dazu führen, dass Maßnahmen im Rahmen des Privacy Shields weiterhin durchgesetzt werden.

Was ist mit dem Vereinigten Königreich und der Schweiz?

Die Entscheidung der EU über die Angemessenheit des EU-US-Datenschutzschildes kommt dem Vereinigten Königreich nicht zugute. Das Vereinigte Königreich hat im vergangenen Monat sein Engagement für eine Datenbrücke zwischen dem Vereinigten Königreich und den USA bekräftigt, und US-Organisationen können sich bereits für die britische Erweiterung des EU-US-Datenschutzschilds zertifizieren lassen, obwohl sie sich bei Datenübermittlungen aus dem Vereinigten Königreich und Gibraltar in die USA nicht auf die britische Erweiterung berufen können, solange das Vereinigte Königreich keine Angemessenheitsentscheidung getroffen hat. Die Teilnahme an der UK-Erweiterung erfordert zunächst die Teilnahme an der EU-US-DSGVO.

Die DPF Schweiz-USA ist ein eigenständiger Rahmen, der eine separate Selbstzertifizierung erfordert (obwohl sie demselben Zertifizierungsprozess folgt wie die DPF EU-USA). Es ist auch bereits in Betrieb, so dass Mitglieder des Swiss-U.S. Privacy Shield Frameworks zum Swiss-U.S. DPF übergehen können und diejenigen, die sich anschließen möchten, dies ebenfalls tun können. Wie im Vereinigten Königreich können jedoch keine Übermittlungen in die Schweiz unter Berufung auf den schweizerisch-amerikanischen Datenschutzschild vorgenommen werden, bis ein Angemessenheitsbeschluss der Schweiz bekannt gegeben wird.

Glatte Fahrt oder Eisberge vor uns!

Die Frage, die sich jeder stellt, ist, wie lange dieser dritte Versuch eines EU-US-Datenschutzrahmens dauern wird. NOYB hat bereits auf das EU-US-DSGVO reagiert und angedeutet, dass es in Kürze zu einer neuen rechtlichen Anfechtung kommen wird, und Max Schrems hat die jüngsten Ereignisse mit dem Murmeltiertag verglichen:

Man sagt, die Definition von Wahnsinn ist, dass man immer wieder das Gleiche tut und ein anderes Ergebnis erwartet. Genau wie ‘Privacy Shield’ basiert die jüngste Vereinbarung nicht auf materiellen Änderungen, sondern auf politischen Interessen. Wieder einmal scheint die derzeitige Kommission zu glauben, dass das Chaos das Problem der nächsten Kommission sein wird. FISA 702 muss von den USA in diesem Jahr verlängert werden, aber mit der Ankündigung des neuen Abkommens hat die EU jede Macht verloren, eine Reform von FISA 702 zu erreichen.”

Die Möglichkeit einer künftigen Ungültigkeitserklärung der EU-US-DSGVO könnte für Organisationen, die über eine Teilnahme nachdenken, eine Rolle spielen.