Firmen, die US-Dienstleister einsetzen, müssen damit rechnen, dass ihre personenbezogenen Daten auf US-Servern verarbeitet werden und im Zweifel auch für US-Behörden zugänglich sind. Aufgrund der aktuellen Regierung der USA könnte das bisherige Schutzniveau der EU, das genau solche Fälle eigentlich absichert, künftig gefährdet werden.
Noch sichert der Angemessenheitsbeschluss der Europäischen Kommission für den Daten-schutzrahmen zwischen der Europäischen Union und den USA, das sogenannte Trans-Atlantic Data Privacy Framework, kurz „DPF“, die Datenübermittlung in die USA ab. Danach gewährleis-ten die USA im Verhältnis zur EU ein angemessenes Schutzniveau für personenbezogene Daten, die aus der EU an US-Unternehmen übermittelt werden. Angesichts der bisherigen Maßnahmen der Trump-Administration ist jedoch unklar, ob ein angemessenes Schutzniveau in Zukunft gewährleistet werden kann. Ein möglicher Wegfall des DPF hätte weitreichende Auswirkungen auf den Datentransfer in die USA, insbesondere für Unternehmen, die ausschließlich auf Basis des DPF Daten übertragen.
Hintergrund
Die Übermittlung von personenbezogenen Daten in Länder außerhalb der EU, sogenannte Dritt-länder, ist nach der Datenschutzgrundverordnung, „DSGVO“, nur unter bestimmten Vorausset-zungen zulässig. Nach Art. 45 ff. DSGVO muss unter anderem sichergestellt werden können, dass das Empfängerland über ein angemessenes Datenschutzniveau verfügt. Eine Übermittlung personenbezogener Daten in ein Drittland ist nach Art. 45 Abs. 1 DSGVO zulässig, wenn die EU-Kommission einen entsprechenden Angemessenheitsbeschluss zu dem Drittland nach Art. 45 Abs. 3 DSGVO gefasst hat. Hierdurch wird einem Drittland oder einer internationalen Organisation ein angemessenes Schutzniveau für personenbezogene Daten bescheinigt. Das DPF stellt einen solchen Angemessenheitsbeschluss für den Datentransfer in die USA als Drittland dar. Aufgrund des DPF können personenbezogene Daten frei und sicher aus dem europäischen Wirtschafts-raum in die USA übermittelt werden, ohne dass weitere Bedingungen erfüllt werden müssen.
Was ist der aktuelle Stand?
Das DPF ist im Juli 2023 in Kraft getreten und nach wie vor gültig. Es basiert maßgeblich auf der im Jahr 2022 durch den ehemaligen US-Präsidenten Biden unterschriebenen „Executive Order on Enhancing Safeguards for United State Signals Intelligence Activities“, kurz „Executive Order“. Die Executive Order sollte den Weg für einen neuen Angemessenheitsbeschluss für die USA ebnen, nachdem die beiden Vorgängerabkommen Safe Harbour (Europäischer Gerichtshof, 06.10.2015 – C-362/14 „Schrems I“) und Privacy Shield (Europäischer Gerichtshof, 16.07.2020 – C-311/18 „Schrems II“) nach Klagen des österreichischen Datenschutzaktivisten Max Schrems vom Euro-päischen Gerichtshof für unwirksam erklärt worden waren. Durch die Executive Order wurden die rechtsstaatlichen Mindeststandards zum Austausch von Daten zwischen US-Unternehmen und europäischen Unternehmen geschaffen. Insbesondere wurde das Zugriffsrecht der US-Geheimdienste auf personenbezogene Daten aus der EU auf das „notwendige“ und „verhältnis-mäßige“ Maß begrenzt. Ein weiterer wesentlicher Baustein des DPF ist zudem das „Privacy and Civil Liberties Oversight Board, auch PCLOB genannt“, das als unabhängiges Kontrollgremium die Einhaltung der datenschutzrechtlichen Regelungen überwacht und eine jährliche Kontrolle des Beschwerdeverfahrens durchführt.
Am 20. Januar 2025 hat die Trump-Administration beschlossen, dass alle Executive Orders der Biden-Administration innerhalb von 45 Tagen überprüft und gegebenenfalls aufgehoben werden sollen. Aktuell ist die Executive Order allerdings weiterhin in Kraft. Zudem wurden am 27. Januar 2025 drei der vier Mitglieder des PCLOB entlassen. Dies führt dazu, dass das Board kein Quorum bilden kann und als Aufsichtsbehörde praktisch handlungsunfähig geworden ist. Dies ist beson-ders mit Blick auf die Relevanz des PCLOB für die Einhaltung der im DPF vereinbarten Schutzni-veaus problematisch. Ob ein angemessenes Schutzniveau hinsichtlich des Datentransfers in die USA unter diesen Umständen noch gewährleistet ist, wird daher stark bezweifelt. Der LIBE-Ausschuss vom Europäischen Parlament hat am 6. Februar 2025 die EU-Kommission aufgefor-dert, die Auswirkungen der Entlassungen der Mitglieder des PCLOB zu prüfen. Nach Art. 45 Abs. 4 DSGVO ist die Kommission verpflichtet, die Entwicklungen in Drittländern zu überwachen, die den Angemessenheitsbeschluss und damit das DPF beeinflussen könnten. Zudem stellt auch der Angemessenheitsbeschluss selbst klar, dass die Kommission regelmäßig bewerten muss, ob das Datenschutzniveau für in die USA übermittelte personenbezogene Daten weiterhin Bestand hat. Die EU-Kommission hat bisher noch nicht reagiert. Mit Blick auf die Vorstöße der Trump-Administration kann insofern nicht ausgeschlossen werden, dass der Angemessenheitsbeschluss entweder von der Kommission gem. Art. 45 Abs. 5 DSGVO widerrufen oder erneut durch den Eu-ropäischen Gerichtshof aufgehoben wird. Die Datenschutzorganisation noyb um Max Schrems drängt in diesem Zuge bereits auf eine Annullierung des Angemessenheitsbeschlusses.
Was sollten Unternehmen jetzt tun?
Solange der Angemessenheitsbeschluss in Kraft ist, kann er als Übermittlungsgrundlage für Übermittlungen personenbezogener Daten in die USA herangezogen werden. Der Wegfall des Angemessenheitsbeschlusses hingegen würde einen Rückschritt in die Zeit nach dem Schrems-II-Urteil im Juli 2020 bedeuten. Somit wären Unternehmen wieder verpflichtet, alternative Maß-nahmen für den sicheren Datentransfer zwischen der EU/dem EWR und den USA zu ergreifen. Mindestvoraussetzungen zu diesem Zeitpunkt waren unter anderem der Abschluss von EU-Standardvertragsklauseln sowie die Pflicht zur Durchführung von sogenannten Transfer Impact Assessments. Auch wenn damit zu rechnen ist, dass bei Aufhebung des Angemessenheitsbe-schlusses gewisse Umsetzungsfristen für die Implementierung neuer Datenschutzmaßnahmen gesetzt werden, empfiehlt sich eine frühzeitige Auseinandersetzung mit den gegebenenfalls erfor-derlichen Schutzmaßnahmen. Dies gilt insbesondere für Unternehmen, die den Datentransfer in die USA bisher nur auf das DPF stützen und keine Standarddatenschutzklauseln als Backup-Lösung mit US-Dienstleistern vereinbart haben. Standarddatenschutzklauseln sollten dabei so in die vertraglichen Abreden integriert werden, dass sie nur dann greifen, wenn der Angemessen-heitsbeschluss widerrufen oder ausgesetzt wurde. Das empfiehlt auch das Bayerische Landes-amt für Datenschutzaufsicht in seinem Tätigkeitsbericht für 2023.
Bildquellen
- pexels-cookiecutter-1148820: Foto von panumas nikhomkhai: https://www.pexels.com/de-de/foto/nahaufnahme-foto-von-mining-rig-1148820/