Die Europäische Kommission hat einen neuen Datenschutzrahmen zwischen der EU und den USA (Data Privacy Framework) gebilligt (PDF) und unternimmt damit einen weiteren Versuch, einen rechtssicheren Datentransfer zwischen Europa und den Vereinigten Staaten von Amerika zu gewährleisten.

Es ist bereits der dritte Anlauf, den transatlantischen Datenverkehr auf eine rechtssichere Basis zu stellen. 2020 hatten die Richter am Europäischen Gerichtshof (EuGH) auf Betreiben von Datenschutzaktivisten den Privacy Shield für rechtswidrig erklärt. Bereits zuvor im Jahr 2016 hatte das höchste europäische Gericht das Vorgängerabkommen Safe Harbour gekippt.

Safe Harbour und Privacy Shield haben nicht gehalten

Personenbezogene Daten europäischer Bürger würden bei einer Übermittlung in die USA nicht ausreichend geschützt und verstießen damit gegen elemantare Regeln der EU-Datenschutzgrundverordnung (EU-DSGVO), begründeten die Richter am EuGH ihre Entscheidungen. Demzufolge würde US-amerikanischen Interessen, was beispielsweise die nationale Sicherheit angeht, Vorrang eingeräumt.

Lesen Sie hier alle Einzelheiten zur Vorgeschichte des neuen Datenschutzabkommens:

• Privacy Shield reloaded: USA und EU schmieden neuen Datenschutzpakt

• Vor dem EuGH droht Schrems III: Joe Biden verspricht Datenschutz per Dekret

• Neues Abkommen für transatlantischen Datenverkehr: EU glaubt an hohes Datenschutzniveau in den USA

• Rückschlag für Datenabkommen: Ausschuss empfiehlt Ablehnung des Data Privacy Framework

Außerdem sei die Verhältnismäßigkeit des Datenzugriffs nicht gewährleistet, so die Richter am EuGH. Eine Nutzung der Daten müsse laut DSGVO auf das zwingend erforderliche Maß beschränkt werden. Das sei in den USA gerade hinsichtlich der Aktivitäten der Nachrichtendienste nicht der Fall. Der EuGH kritisierte, dass für die groß angelegten Überwachungsprogramme der US-Geheimdienste keine Einschränkungen existierten. Außerdem gäbe es für Nicht-US-Bürger, die von diesen Programmen erfasst würden, keine Garantien und keine Möglichkeit ihre Rechte gegenüber den US-Behörden gerichtlich durchzusetzen.

Ursula von der Leyen verspricht sicheren Datenverkehr

Das soll sich mit dem Data Privacy Framework ändern. "Der neue Datenschutzrahmen EU-USA wird einen sicheren Datenverkehr für die Europäerinnen und Europäer gewährleisten und den Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Der Rahmen zeigt, dass wir durch Zusammenarbeit die komplexesten Fragen angehen können", wird Ursula von der Leyen, Präsidentin der Europäischen Kommission in einer Pressemitteilung zitiert.

Zentrales Element des Abkommens ist die Annahme des Angemessenheitsbeschlusses durch die EU-Kommission. Damit wird den Vereinigten Staaten attestiert, dass sie ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten. Es würden verbindliche Garantien eingeführt, um allen vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen, heißt es in einer Mitteilung der EU-Kommission.

Demzufolge würde der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt. Außerdem soll ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) eigerichtet werden, zu dem Einzelpersonen in der EU Zugang hätten. Würden bei Datenschutzprüfungen Verstöße gegen die neuen Garantien festgestellt, könne das Gericht die Löschung der Daten anordnen.

IT-Branche hofft auf ein Ende der Rechtsunsicherheit

"Mit der heutigen Veröffentlichung des Data Privacy Frameworks geht eine dreijährige Hängepartie zu Ende", kommentierte der neue Bitkom-Präsident Ralf Wintergerst das Abkommen. Unternehmen erhielten damit grundsätzlich wieder Rechtssicherheit, wenn sie personenbezogene Daten zwischen der EU und den USA transferieren müssen. Vor allem kleine und mittelständische Unternehmen profitierten davon, dass künftig keine Einzelfallprüfungen mehr notwendig sind.

Auch der eco – Verband der Internetwirtschaft e.V. begrüßt das neue Regelwerk. Damit bestehe wieder eine Grundlage für den rechtssicheren Austausch personenbezogener Daten zwischen den USA und den EU-Mitgliedsstaaten, der noch dazu den europäischen Datenschutzregeln entspricht. "Für die deutsche Wirtschaft, insbesondere für viele kleine und mittelständische Unternehmen, bildet ein rechtssicherer Datenaustausch auf internationaler Ebene die Basis ihrer datengetriebenen Geschäftsmodelle" sagte eco Geschäftsführer Alexander Rabe. Damit sei das Transatlantic Data Privacy Framework ein wichtiger Baustein für eine gelingende digitale Transformation. Seit dem Wegfall des EU-US Privacy Shields vor drei Jahren seien international agierende Unternehmen vor eine harte Bewährungsprobe gestellt worden.

Die Lobby-Vertreter warnen allerdings vor übertriebener Euphorie. "Sicher ist aber auch, dass die nun gefundene Neuregelung erneut von den Gerichten überprüft werden wird", sagte Bitkom-Präsident Wintergerst. Erst dort werde sich zeigen, ob der EU-Gesetzgeber mit dem Data Privacy Framework eine rechtlich belastbare Regelung gefunden hat. eco-Mann Rabe ergänzt: "Es bleibt noch abzuwarten, ob die vorgenommenen Regelungen auch vor Gericht Bestand haben werden. Ich hoffe hier darauf, dass nicht durch erneute jahrelange Gerichtsverfahren ein Schwebezustand für die Internetwirtschaft entsteht. Die Zeiten der totalen Rechtsunsicherheit, die im schlechtesten Fall zu Bußgeldern oder Übertragungsverboten geführt hat, sind nun hoffentlich endlich vorbei."

The protection of your personal data is a fundamental right.

After intense cooperation with our US partners, we are adopting a new EU-US Data Privacy Framework for safe and trusted EU-US data flows.

This will ensure an adequate level of data protection for EU citizens and bring… pic.twitter.com/p5YprgtbpY

— European Commission (@EU_Commission) July 10, 2023

"Anfang nächsten Jahres vor dem Europäischen Gerichtshof"

Dass die Rechtsunsicherheit nun ein Ende hat, ist allerdings längst nicht ausgemacht. Die von Max Schrems gegründete Datenschutzorganisation noyb hat bereits angekündigt, rechtlich gegen das neue Data Privacy Framework vorgehen zu wollen. Die Datenschützer zeigen sich zuversichtlich, dass auch der dritte Versuch einer Datenschutzvereinbarung zwischen Europa und den Vereinigten Staaten vor dem Europäischen Gerichtshof scheitern wird: "Das angeblich 'neue' transatlantische Datenschutzabkommen stellt weitgehend eine Kopie des gescheiterten 'Privacy Shield'-Abkommens dar. Anders als von der Europäischen Kommission behauptet, hat sich am US-Recht wenig geändert … nach wie vor haben nur US-Bürger verfassungsmäßig garantierte Rechte und dürfen nicht anlasslos überwacht werden", schreiben die Datenschützer auf ihrer Webseite.

Max Schrems selbst zeigt sich weiter kämpferisch - und ein wenig genervt: "Wir haben bereits verschiedene juristische Optionen in der Schublade, obwohl wir dieses juristische Ping-Pong satthaben. Wir gehen derzeit davon aus, dass die Sache Anfang nächsten Jahres wieder vor dem Europäischen Gerichtshof landen wird."

Abkommen soll regelmäßig geprüft werden

In Ermangelung eines Abkommens verwenden Unternehmen derzeit sogenannte Standardvertragsklauseln, um Datenübertragungen über den Atlantik hinweg im Einklang mit der DSGVO zu regeln. Diese Praxis ist jedoch mühsam und übersteigt darüber hinaus oft die Ressourcen insbesondere kleinerer Unternehmen. Mit dem Datenschutzrahmen EU-USA soll die Notwendigkeit entfallen, mit jedem Vertragspartner individuelle Datenschutzverträge abzuschließen - solange diese sich dazu verpflichten, die im Abkommen festgelegten Regeln einzuhalten.

Questions & Answers: EU-US Data Privacy Framework

Mit dem Beschluss der EU-Kommission ist das Data Privacy Framework am 10. Juli 2023 in Kraft getreten. Der neue Datenschutzrahmen EU-USA soll regelmäßig gemeinsam von der Europäischen Kommission und Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden überprüft werden, hieß es. Die erste Überprüfung soll binnen eines Jahres nach dem Inkrafttreten erfolgen, um zu ermitteln, ob alle einschlägigen Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.