Datenübermittlungen in die USA seit 10.07.2023 wieder DSGVO konform
Der neue Angemessenheitsbeschluss im Sinne der Datenschutz Grundverordnung (DSGVO bzw. GDPR) ist da. Am 10. Juli 2023 ist der Beschluss durch die EU-Kommission ergangen. Sind damit alle Herauforderungen, die der Europäische Gerichtshof mit seinem Urteil zum Privacy Shield (bzw. Schrems II Urteil) formulierte behoben? Was ist nunmehr konkret zu tun?
Was ist ein Angemessenheitsbeschluss, wozu dient dieser?
Sollen personenbezogene Daten das Territorium der Europäischen Union (EU) verlassen, müssen dafür die Regularien des Kapitel V (Art. 44 bis 50 DSGVO) eingehalten werden. In der Grundregel des Art. 44 heißt es:
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden;(…)
Für die beteiligten Parteien ist es besonders einfach, wenn dieser Transfer von personenbezogenen Daten (pbD) auf einen Angemessenheitsbeschluss im Sinne des Artikel 45 Datenschutz-Grundverordnung gestützt werden kann. Mit einem solchen von der EU-Kommission zu fassenden Beschluss wird erklärt,
dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet.
Es ist also lediglich zu prüfen, ob der ausländische Partner (Empfänger personenbezogener Daten) seinen Sitz in einem Land hat, für das ein Angemessenheitsbeschluss vorliegt. Solche Abkommen bestehen etwa mit Japan, Südkorea oder auch der Schweiz.
Problemfall USA
Mit Urteil vom 16.07.2021 (Rechtssache C-311/18 – Data Protection Commissioner gegen Facebook Ireland Limited und Maximilian Schrems) hatte der Europäische Gerichtshof (EuGH) den bis dahin für den transatlantischen Datenverkehr bestehenden Angemessenheitsbeschluss vom 12.06.2016 (EU-US Privacy Shield) für nicht DSGVO konform erklärt.
Dies hatte zur Folge, dass seither die Übermittlung von personenbezogene Daten in die USA (oder auch der Zugriff aus den USA heraus auf Daten in der EU) einer anderen Rechtsgrundlage i.S.d. Art. 44-50 DSGVO bedurfte. Nicht selten waren das seither die EU Standardvertragsklauseln (in der Fassung vom 04.06.2021) im Sinne des Art. 46 Abs. 2 lit. c) DSGVO.
Jüngst hatte die für Facebook Ireland Limited zuständige irische Datenschutzaufsichtsbehörde – Data Protection Commissioner – entschieden, dass die Datenübermittlung und Verarbeitung durch Facebook bzw. META seit eben jenem Urteil des EuGH nicht mehr DSGVO konform erfolge und ein Rekordbussgeld von 1,2 Milliarden EUR festgesetzt (vgl. Beitrag hier).
Dem Urteil des europäischen Gerichts sind die einzelnen Problemfelder im Einzelnen aufgeführt.
Seither wird jedoch über die Deutung und praktische Umsetzung in der Fachwelt gestritten, wobei nicht verkannt werden sollte, wer aus welchem Lager heraus argumentiert und letztlich welche Interessen mit seiner Perspektive und Lesart verfolgt bzw. vertritt.
Denn dies dürfte sich als wesentlich für die Beantwortung der Frage gestalten, wie mit der jüngsten Entscheidung der Kommission umgegangen werden muss oder sollte.
Der neue Angemessenheitsbeschluss
Nachdem im März 2022 zwischen der Kommissionpräsidentin von der Leyen und dem US-amerikanischen Präsidenten Biden politisch vereinbart worden war, ein neues Abkommen zu finden, schlossen sich die Verhandlungen und Diskussionen, was dafür konkret erforderlich ist, an.
Denn das neue „Privacy Shield 2.0“ soll erneut als Angemessenheitsbeschluss i.S.d. Art. 45 Abs. 1 DSGVO den transatlantischen Datenverkehr auf eine vereinfachte Grundlage stützen.
Im Oktober 2022 folgte eine sogenannte Executive Order von Präsident Biden. Diese soll die nötigen Voraussetzungen herbeiführen, um das nach Art. 44 Abs. 1 DSGVO erforderliche Mindestniveau an Rechtsangleichung im Bereich Datenschutz zwischen den USA und der Europäischen Union zu erreichen.
Die EU-Kommission bringt mit ihrem Beschluss vom 10.07.2023 (hier online als PDF – derzeit nur in englisch) zum Ausdruck, dass die durch Präsident Biden am 07.10.2022 per Executive Order 14086 festgelegten Regularien zur Einschränkung des Zugriffs auf den transatlantischen Datenverkehr durch US-amerikanische Institutionen ausreichen. Es würden Beschränkungen eingeführt, nämlich „Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß“, die dem Mindestmaß europäischem Datenschutzrechts genügen.
In der Pressemitteilung vom 10.07.2023 erlärt Präsidentin von der Leyen (hier online):
„Der neue Datenschutzrahmen EU-USA wird einen sicheren Datenverkehr für die Europäerinnen und Europäer gewährleisten und den Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Nach der grundsätzlichen Einigung, die ich im vergangenen Jahr mit Präsident Biden erzielt habe, haben die USA beispiellose Zusagen zur Schaffung des neuen Rahmens gemacht. Heute kommen wir einen wichtigen Schritt dabei voran, den Bürgerinnen und Bürgern Vertrauen in die Sicherheit ihrer Daten zu geben, unsere wirtschaftlichen Beziehungen zwischen der EU und den USA zu vertiefen und gleichzeitig unsere gemeinsamen Werte zu stärken. Der Rahmen zeigt, dass wir durch Zusammenarbeit die komplexesten Fragen angehen können.“
Zur Wahrung des Mindestniveaus sowie der Datenschutzgarantien benennt die EU-Kommissionspräsidentin ausdrücklich, dass mit Einrichtung eines „Data Protection Review Courts (DPR)“ für den Fall von Datenzugriffen eine Rechtsschutzmöglichkeit zu Gunsten von EU-Bürgern geschaffen worden sei. Dies gelte insbesondere für US-nachrichtendienstliche Datenzugriffe, die EU-Bürger zum Gegenstand haben. Dieses als „Gericht“ bezeichnete „unabhängige und unparteiische Rechtsbehelfsverfahren“ erlaube insoweit eine Kontrolle, ob Zugriffe auf Daten das „notwendige und verhältnismäßige Maß“ wahren oder auch nicht.
Für US-amerikanische Unternehmen ist es nunmehr erforderlich, dieses Regelwerk im Wege einer Selbstverpflichtung anzunehmen.
Konsequenzen des neuen EU-US DPF
Für EU-Unternehmen und Organisationen bedeutet dies, dass für den transatlantischen Datenaustausch mit unterzeichnenden US-amerikanischen Unternehmen der Datenverkehr auf Art. 45 Abs. 1 DSGVO gestützt werden kann.
Kritik zu dem neuen „Privacy Shield 2.0“ bzw. „EU-US DPF“ kam nicht nur von Herrn Schrems und der über ihn ins Leben gerufenen Organisation NOYB (zum Entwurf am 25.03.2023), sondern auch in Form der Stellungnahme des Europäischen Datenschutzausschusses per Opinion 5/2023 vom 28.02.2023. Auch das EU-Parlament formulierte noch deutlichere Vorbehalte mit seiner Entschließung vom 11.05.2023.
Legt man den Angemessenheitsbeschluss, die vorgebrachten Kritiken und, sozusagen als Ausgangspunkt das EuGH Urteil nebeneinander, wird man erkennen können, das den handelnden politischen Akteuren das Ziel und vor allem dessen möglichst kurzfristige Erreichung wichtiger, als der sorgfältig vorbereitete Weg dorthin.
Es steht zu befürchten, dass sich das Umsetzungsrisiko erneut auf die Unternehmen und Organisationen einerseits und vor allem die Vielzahl der Betroffenen, deren Daten verarbeitet und übermittelt werden, verlagert wird.
Widerstand ist zwar angekündigt.
Bis dieser – aufgrund der zu erwartenden Verfahrensdauer – aber zu einem neuen EuGH Urteil führt, wird erhebliche Zeit vergehen und erneut der Eindruck geschürt, die Differenzen zwischen den USA und der EU seien wenig bedeutsam.
Herr Schrems und NOYB kündigten an, daher auch Eilanträge zu erwägen, die eine Aussetzung des Beschlusses vor Abschluss eines Urteilsverfahrens zum Gegenstand haben könnten.
Zentrale Kritikpunkte (u.a.):
- das Verständnis im Interesse nationaler Sicherheit „notwendige und verhältnismäßige Maß“ des Datenzugriffs festzulegen, fällt zwischen den USA und der EU-Rechtslage deutlich auseinander
- und das „unabhängige und unparteiische Rechtsbehelfsverfahren“, das über die Excecutive Order eingerichtet werden konnte, entspräche nicht einem rechtsstaatlichen Gerichtsverfahren, sondern sei ein verwaltungsbehördliches Prüfverfahren (so dass sich also die Verwaltung selber kontrolliert, ob ein Datenzugriff notwendig und verhältnismäßig war); eine echte gerichtliche Überprüfung erfordere deutliche Eingriffe in die US-Gesetzgebung, die Präsident Biden im Alleingang nicht durchsetzen kann.
Nicht unerwähnt bleiben sollte auch in diesem Zusammenhang das kürzlich ergangene Rekordbußgeld von 1,2 MrdEUR gegenüber der Meta-Group, dem ein Art. 65-Beschluss des Europäischen Datenschutzausschusses vorausging. Mit diesem wurde letztlich die Irische Datenschutzaufsichtsbehörde durch die Gemeinschaft aller Europäischen Datenschutzaufsichtsbehörden im Interesse einer einheitlichen Anwendung der DSGVO aufgefordert, entsprechend zu beschließen. In dem ausführlich begründeten Beschluss finden sich detailliert die Argumente wieder, die auch die Kritiker des nunmehr in Kraft gesetzten Angemessenheitsbeschlusses anführen.
Das heißt, sollte der Europäische Gerichtshof, wie bereits im Fall der Vorgänger-Angemessenheitsbeschlüsse „Safe Harbor“ und „Privacy Shield“, auch den neuen Angemessenheitsbeschluss für europarechtswidrig bewerten, laufen Unternehmen und Organisationen Gefahr, dass ihr transatlantischer Datenverkehr als von Anfang an europarechtswidrig und damit datenschutzrechtswidrig bewertet werden kann (so geschehen im Rekordbussgeld gegen Meta).
Dies kann entsprechende Bußgeldverfahren nach Art. 83 DSGVO einerseits und Schadensersatzforderungen nach Art. 82 DSGVO andererseits nach sich ziehen.
Ratsam erscheint es daher, insbesondere im Fall der Übermittlung sensibler personenbezogener Daten diesen Datentransfer nicht allein auf Art. 45 Abs. 1 DSGVO, sondern ergänzend auf weitere, etwa die bereits erwähnten Standardvertragsklauseln im Sinne des Art. 46 Abs. 2 lit. c) DSGVO, zu stützen (incl. der vom EuGH für die US-Datenübermittlungen geforderten zusätzlichen Maßnahmen).
Konkrete Umsetzungshinweise
Das sollte nunmehr veranlasst werden.
Mit dem neuen Angemessenheitsbeschluss besteht Handlungsbedarf in allen Unternehmen und Orgnisationen, die Daten in die USA oder mit Zugriffsmöglichkeit aus den USA verarbeiten.
Datenflüsse und ihre vertraglichen Grundlagen einerseits, ihre technische Umsetzungen anderseits sollten zusammengestellt werden, die Risiken (neu, aktualisierend) beurteilt und im Hinblick auf den neuen Beschluss um die Möglichkeit die Verarbeitung auf diesen stützen zu können geprüft bzw. ergänzt werden.
Dies umfasst eine entsprechende Dokumentation im Datenschutzmanagement als auch im Compliancemanagement.
Da all dies in der Verantwortung der jeweiligen Fachbereiche der Unternehmen und Organisationen liegt, dürfte eine entsprechende Information oder auch Schulung ganz vorne anstehen.
Praktische Anwendungsbereiche dürfte der Einsatz von Social Media, ChatBots, Newsletter-Tools oder ähnliche KI- bzw. Assistenzsysteme sein.
Weitere Ideen – gerne in die Kommentare …
Trackbacks & Pingbacks
[…] „von außen“ feststellen, zugehörige Beweise sichern und insofern verfolgen (vgl. hier Beitrag zur Drittlandsübermittlungsrisiko). Ein Compliancerisiko für jede Organisation, das nicht neu ist. Aber infolge des neuen Urteils […]
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!