Häufig gestellte Fragen über den neuen EU-US-Datenschutzrahmen

Die EU und die USA haben sich auf ein neues System geeinigt, um den Datenfluss zwischen Unternehmen auf beiden Seiten des Atlantiks zu erleichtern. Es heißt EU-US-Datenschutzrahmen (EU-US Data Privacy Framework, DPF), und US-Unternehmen beeilen sich bereits, sich im Rahmen des Systems selbst zu zertifizieren.

Aber können europäische Unternehmen angesichts der komplexen und chaotischen Geschichte der transatlantischen Datenübermittlung dem DPF vertrauen?

Dieser Artikel erläutert die Grundlagen der Datenübermittlung - und könnte Ihnen bei der Entscheidung helfen, ob es langfristig klug ist, sich auf die DPF zu verlassen.

Worum geht es bei den Nachrichten über die Datenübermittlung zwischen der EU und den USA?

Die große Neuigkeit ist, dass die USA dank der DPF nun einen teilweisen Angemessenheitsbeschluss" haben, nachdem sie drei Jahre lang keinen hatten.

In den letzten zehn Jahren haben die Europäische Kommission und die US-Regierung versucht, einen Weg zu finden, der es Organisationen im Europäischen Wirtschaftsraum (EWR) ermöglicht, personenbezogene Daten problemlos an Unternehmen in den USA zu übertragen.

Die Allgemeine Datenschutzverordnung (GDPR) legt wie ihr Vorgänger strenge Regeln für "internationale Datenübertragungen" fest - die Weitergabe personenbezogener Daten durch im EWR ansässige Organisationen an andere Einrichtungen in "Drittländern" (Ländern außerhalb des EWR).

Das hört sich nicht sehr wichtig an...

Internationale Datenübermittlungen sind weiter verbreitet, als den meisten Menschen bewusst ist.

Die von Microsoft, Google, Meta und anderen Tech-Giganten betriebenen Dienste fallen unter das Gesetz zur Datenübermittlung.

Personenbezogene Daten dürfen die Kontrolle von EWR-Unternehmen nur dann verlassen, wenn bestimmte Bedingungen erfüllt sind. Eine dieser Bedingungen ist, dass die Daten in ein Land mit einem "Angemessenheitsbeschluss" übertragen werden - den die USA, wie erwähnt, letzte Woche (teilweise) erhalten haben. Zum dritten Mal.

Warum haben die USA bereits drei Angemessenheitsbeschlüsse erhalten?

Die USA haben ihre dritte Angemessenheitsentscheidung erhalten, weil die letzten beiden rechtswidrig waren.

Obwohl die Kommission (das Exekutivorgan der EU) entscheiden kann, welche Länder "angemessen" sind, wurden ihre früheren Angemessenheitsentscheidungen für die USA vom Gerichtshof der Europäischen Union (EuGH) gekippt.

Alles begann im Jahr 2013, als Edward Snowden Dokumente der Nationalen Sicherheitsbehörde der USA (NSA) veröffentlichte, aus denen hervorging, wie umfassend die USA Menschen außerhalb ihrer Grenzen überwachen.

Warum reden Sie über Edward Snowden?

Die Snowden-Enthüllungen lösten eine Reihe rechtlicher Anfechtungen aus, die bei Unternehmen, die personenbezogene Daten aus dem EWR in die USA übermitteln, für Chaos gesorgt haben.

Mit ähnlichen Problemen wird auch die neue EU-US-DSGVO konfrontiert sein. Die Frage ist, ob der neue Rahmen dort überlebt, wo seine Vorgänger gescheitert sind. Wir werden darauf zurückkommen.

Die Snowden-Enthüllungen haben unter anderem gezeigt, wie die nationalen Sicherheitsgesetze der USA genutzt wurden, um den nahezu ungehinderten Zugriff auf die Daten der Europäer durch Google, Microsoft und Facebook zu rechtfertigen.

Und das alles geschah trotz der Angemessenheitsentscheidung der Kommission für die USA.

Die Snowden-Enthüllungen haben eine Reihe von Menschen aufgeschreckt, darunter auch einen Datenschutzaktivisten namens Max Schrems.

Wer ist der Datenschutzaktivist Max Schrems und warum sollte mich das interessieren?

Der Datenschutzaktivist Max Schrems ist der Mann, der die ersten beiden Angemessenheitsbeschlüsse der USA zu Fall brachte, die sich auf die Datentransferrahmen Safe Harbor" und Privacy Shield" bezogen.

Nach den Snowden-Enthüllungen beschwerte sich Schrems bei der irischen Datenschutzkommission (DPC), dass Facebook ihn durch die Übermittlung seiner personenbezogenen Daten in die USA nicht einer aufdringlichen Überwachung aussetzen sollte.

Die irische Datenschutzkommission (die für die Datenschutzregulierung der meisten US-amerikanischen Technologieunternehmen zuständig ist) wies die Beschwerde mit der Begründung zurück, dass sie sich nicht einmischen könne, da die Übermittlungen durch einen Angemessenheitsbeschluss - den Safe-Harbor-Rahmen - abgedeckt seien.

Diese Behauptung erwies sich als falsch. Schrems' Klage gegen Facebook und die irische Datenschutzbehörde landete vor dem EuGH, der Safe Harbor untersuchte und bestätigte, dass es nicht den EU-Standards entspricht.

Was war das Problem mit Safe Harbor?

Das Problem mit Safe Harbor bestand nach Ansicht des EuGH darin, dass es die US-Regierung nicht daran hinderte, die Datenschutzrechte von Menschen in Europa zu verletzen.

US-Unternehmen, die sich an Safe Harbor beteiligen, mussten sich verpflichten, die "Safe Harbor Privacy Principles" einzuhalten. Da es in den USA kein aussagekräftiges Bundesdatenschutzgesetz gibt, bot das Safe Harbor-System einen gewissen Schutz für importierte EWR-Daten.

Der EuGH entschied jedoch, dass die Kommission den Sinn des "Angemessenheitsprozesses" verfehlt habe. Die US-Behörden seien nicht an Safe Harbor gebunden und könnten trotz der Regelung relativ ungestraft handeln.

Max Schrems bekam also Recht, Safe Harbor wurde für rechtswidrig erklärt, und EWR-Unternehmen, die sich auf die Regelung verlassen, erhielten drei Monate Zeit, um einen anderen Weg zur Übermittlung personenbezogener Daten in die USA zu finden.

In der Zwischenzeit handelten die Kommission und die US-Regierung einen neuen und verbesserten Rahmen aus, den so genannten "Privacy Shield", der von der Kommission 2016 als angemessen erachtet wurde.

Aber auch mit Privacy Shield gab es Probleme.

Was waren die Probleme mit Privacy Shield?

Mit Privacy Shield richtete die US-Regierung eine "Ombudsperson" ein, die Beschwerden von Menschen in Europa entgegennimmt, und weitete bestimmte Datenschutzrechte der USA auf Europäer aus.

Die Reformen gingen nicht weit genug, sagte Max Schrems in einem Fall, der jetzt als "Schrems II" bekannt ist.

Der EuGH schlug sich erneut auf die Seite von Schrems und stellte unter anderem fest, dass die Ombudsperson des Privacy Shield die EU-Standards für das "Recht auf Rechtsbehelf" (die Möglichkeit, Regierungsentscheidungen vor einem Gericht anzufechten) nicht erfüllte.

Das Gericht beanstandete auch eine andere gängige Methode der Datenübermittlung (die, wie sich herausstellte, von Facebook tatsächlich verwendet wurde) - die Standardvertragsklauseln (SCC).

Im Wesentlichen bedeutete die Schrems-II-Entscheidung, dass Organisationen, die SCCs verwenden, eine detaillierte "Folgenabschätzung für den Datentransfer" durchführen müssen, um sicherzustellen, dass sie Menschen nicht der illegalen Überwachung durch ausländische Regierungen aussetzen - was bei den meisten Datenübermittlungen in den USA praktisch unmöglich ist.

Weitere Informationen über SCCs finden Sie hier.

EWR-Organisationen, die sich auf Privacy Sheild verlassen, mussten also wieder einmal einen neuen Weg für die Übermittlung personenbezogener Daten in die USA finden.

Diesmal hatten sie jedoch keine Vorankündigung, und der naheliegendste alternative Übermittlungsmechanismus (SCCs) war praktisch unbrauchbar gemacht worden.

In den folgenden drei Jahren befanden sich viele Unternehmen in der Schwebe, während Brüssel und Washington an der nächsten Version des Privacy Shield arbeiteten - der DPF.

Was ist der EU-US-Datenschutzrahmen (DPF)?

Wie bei seinen Vorgängern handelt es sich bei der DPF um ein Selbstzertifizierungssystem. US-Unternehmen können sich anmelden, wenn sie sich bereit erklären, die Anforderungen des Systems zu erfüllen und jährlich neu zu zertifizieren.

Im EWR ansässige Organisationen können personenbezogene Daten an DPF-zertifizierte US-Unternehmen übermitteln, ohne zusätzliche Sicherheitsvorkehrungen treffen zu müssen.

Zusammen mit der DPF hat die US-Regierung eine Exekutivverordnung erlassen, die (hoffentlich) die Praktiken der US-Nachrichtendienste mit den EU-Datenschutzstandards in Einklang bringt und ein Datenschutzprüfungsgericht einrichtet, das (hoffentlich) den Anforderungen der EU für Rechtsmittel entspricht.

Können sich EWR-Unternehmen also bei der Datenübermittlung in die USA entspannen?

Eine völlige Lockerung der Datenübermittlung könnte unklug sein.

Schrems hat bereits mit den Vorbereitungen begonnen, um die DPF auf die gleiche Weise anzufechten, wie er die beiden vorherigen Rahmenregelungen angefochten hat. Wenn er gewinnt, werden die Unternehmen, die sich auf die Regelung verlassen, erneut in der rechtlichen Schwebe gefangen sein.

Beim Datenschutz geht es um mehr als nur darum, die Durchsetzung der Vorschriften zu vermeiden. Wir haben gesehen, dass die EU-Datenschutzbehörden die Vorschriften für die Datenübermittlung streng auslegen. Seit Juli 2020:

• Behörden in vielen EU-Mitgliedsstaaten (darunter Österreich, Frankreich, Italien und Finnland) haben Website-Betreiber für die Verwendung von Google Analytics unter Missachtung der Datenübertragungsregeln bestraft - darunter eine Geldstrafe in Höhe von 1 Million Euro, die Schweden diesen Monat verhängt hat.
• Andere Fälle, bei denen es um Datenübertragungen geht, betreffen die Verwendung gängiger Tools wie das Meta Pixel und das Content Delivery Network von Cloudflare - und sogar Übertragungen im Rahmen eines internationalen Steuerabkommens mit den USA.
• Die größte GDPR-Strafe aller Zeiten bezog sich auf Datenübertragungen - 1,2 Milliarden Euro gegen Meta, weil es auch nach Schrems II weiterhin illegal personenbezogene Daten übermittelte.

Aber können wir Google Analytics nun verwenden oder nicht?

Solange die DSGVO Bestand hat, ist die Verwendung von Tools wie Google Analytics nicht mehr per se illegal, zumindest nicht wegen der Datenübermittlung.

Eine Aufsichtsbehörde könnte andere Probleme mit der Art und Weise finden, wie ein Website-Betreiber Google Analytics einsetzt - insbesondere wenn der Cookie-Banner irreführend ist oder die Besucher nicht um ihre Zustimmung gebeten werden - oder wie viele Daten über das Tool an Google weitergegeben werden.

Und, wie bereits erwähnt, wird Schrems die DPF anfechten. Er wird argumentieren, dass die zugrundeliegenden Änderungen des US-Rechts keine sinnvolle Verbesserung zum Schutz der Datenschutzrechte der Menschen in Europa darstellen.

Die Klärung des Falles könnte Jahre dauern, und es ist unmöglich vorherzusagen, ob die DPF überleben wird.

Aufgrund der bisherigen Ergebnisse würden die meisten Beobachter jedoch nicht gegen Max Schrems wetten.

Eine sinnvolle langfristige Strategie könnte daher darin bestehen, Ihr Unternehmen gegen die mit internationalen Datenübertragungen verbundenen Risiken abzusichern, wo immer dies möglich ist.