Max Schrems, der bekannte Datenschutzaktivist, hat bereits zweimal Regelwerke für Datentransfers vor dem Europäischen Gerichtshof (EuGH) zu Fall gebracht – bekannt als Urteile Schrems I und II.
Ein wesentlicher Kritikpunkt waren die umfassenden Rechte der US-Sicherheitsbehörden auf Daten von EU-Bürgern, die an US-Unternehmen übermittelt wurden. Als Mitgründer der Non-Profit-Organisation NOYB – European Center for Digital Rights (NOYB steht für „None Of Your Business“) kämpft Schrems dafür, dass personenbezogene Daten nicht unrechtmäßig an Dritte gelangen.
Die DSGVO basiert auf dem Prinzip des „Verbots mit Erlaubnisvorbehalt“, was bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn, es gibt eine ausdrückliche Erlaubnis durch Gesetz oder Einwilligung der Betroffenen.
Bei Übermittlung von Daten in Länder außerhalb des Geltungsbereichs der DSGVO kann die EU-Kommission mit einer sogenannten Adäquanzentscheidung feststellen, dass die Datenschutzbestimmungen dieser Länder dem Schutzniveau der DSGVO entsprechen. So seit Jahren praktiziert mit z.B. der Schweiz.
Die Situation in den USA ist umstritten, da sich hier staatliche Stellen immer eine Hintertür offenhalten. Der EuGH hat bereits zweimal Adäquanzentscheidungen der EU-Kommission aufgehoben. Zunächst kassierte der EuGH in der Schrems-I-Entscheidung das Safe-Harbor-System. Daraufhin wurde das EU-US Privacy Shield eingeführt, aber auch dieses wurde vom EuGH in der Schrems-II-Entscheidung als mit EU-Recht unvereinbar aufgehoben.
Seither konnten Daten in die USA nur über die Vereinbarung sogenannter Standardvertragsklauseln zwischen sendendem und empfangendem Unternehmen übermittelt werden. Dabei ist der Datenexporteur verpflichtet, selbst die Rechtslage im Empfängerland zu prüfen. Das Fehlen einer klaren rechtlichen Regelung kann das aber nicht ersetzen. Die Unsicherheit bleibt.
Nun hat die EU-Kommission das neue EU-US Data Privacy Framework (DPF) als rechtliche Grundlage für den Transfer personenbezogener Daten in die USA angenommen. Das DPF trat am 10. Juli 2023 in Kraft und beendet vorerst die Rechtsunsicherheit. Das DPF gewährt Betroffenen nun in den USA weitergehende Rechte, einschließlich des Rechts auf Zugang, Berichtigung und Löschung ihrer Daten sowie kostenlose Streitbeilegungsverfahren und die Einrichtung eines Schiedsgerichts.
Die EU-Kommission stützt ihre DPF-Entscheidung auf eine Executive Order des US-Präsidenten, und der Europäische Datenschutzausschuss hat die Verbesserungen im Vergleich zum vorherigen Rechtsrahmen positiv bewertet.
Unternehmen in den USA, die an dem Verfahren teilnehmen möchten, müssen sich für das DPF-Framework registrieren und die Einhaltung des DPF erklären. Die US-Handelskommission soll die Einhaltung der DPF-Vorgaben überwachen.
Wie nicht anders zu erwarten, kündigte NOYB nun prompt an, auch gegen diesen dritten Versuch, einen verlässlichen Rechtsrahmen für den Datenaustausch zwischen EU und USA zu schaffen, zu klagen, was zu einem möglichen „Schrems-III-Verfahren“ führen könnte. Beteiligte an der Entwicklung des DPF bezweifeln jedoch, dass NOYB das Framework zu Fall bringen wird.
Der Ausgang ist ungewiss, und es wird Jahre dauern, bis der EuGH zu DPF ein Urteil fällt. Dennoch bedeutet das DPF zunächst einmal mehr Rechtssicherheit für die Unternehmen.
Viele Unternehmen unterschätzen regelmäßig das Problem und wissen oft gar nicht, wo genau ihre Daten verarbeitet werden. Cloud-Angebote offenbaren oft erst auf den zweiten Blick, in welchem Land die genutzten Rechenzentren stehen und von wo diese administriert werden.
Gut organisierte IT-Sicherheit betrachtet auch diese Aspekte und findet Lösungen. Fragen zu diesem Thema stellen Sie gerne unseren IT Sicherheitsexperten!
