Das EU-US Data Privacy Framework (Privacy Shield 2.0): Wie wirkt sich der neue Datenschutzrahmen auf Ihr Unternehmen aus

, ,

Geschrieben von Beata Moryl, Aleksandra Szczepanska, Karolina Lubowicka

Veröffentlicht Juli 20, 2023

Privacy Shield 2.0: Was es ist und wie es sich auf Ihr Unternehmen auswirken wird

Am 10. Juli 2023 erließ die Europäische Kommission ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA. Er wird auch als Data Privacy Framework (DPF) bezeichnet. Angesichts der Rolle von Datentransfers in der globalen Wirtschaft ist dies ein dringend benötigter Schritt. Doch viele Fragen im Hinblick auf dieses neue Abkommen lassen Zweifel an seiner Nachhaltigkeit aufkommen.

Laut Datenschutzaktivisten, darunter Max Schrems, der sich maßgeblich an der Abschaffung von Safe Harbor und Privacy Shield beteiligte, hat der neue Datenschutzrahmen keine Chance vor dem Gerichtshof der Europäischen Union (EuGH). Wie sieht also die Zukunft des transatlantischen Datentransfers aus?

Lesen Sie die Geschichte der früheren Angemessenheitsbeschlüsse, um die grundlegenden Probleme beim Datentransfer zwischen der EU und den USA zu verstehen. Erhalten Sie nähere Informationen über den neuen Datenschutzrahmen und seinen Einfluss auf Unternehmen in der EU und den USA.

Warum benötigen wir einen Angemessenheitsbeschluss zwischen der EU und den USA?

Es besteht ein erheblicher Unterschied zwischen den USA und der EU in Bezug auf die Datenschutzrechte der Einzelpersonen.

Das EU-Recht schützt die Privatsphäre des Einzelnen durch Gesetze wie die DSGVO, die ePrivacy-Verordnung und die EU-Grundrechtecharta (GRC). Seit 1995 verbietet das EU-Recht den Transfer personenbezogener Daten in Länder außerhalb der EU, wenn das Zielland keinen gleichwertigen Schutz der Privatsphäre bietet.

Das US-Rechtssystem verfügt nicht über einen solchen umfassenden Rahmen für die Privatsphäre. Obwohl der vierte Verfassungszusatz die Privatsphäre amerikanischer Bürger schützt, genießen Personen aus anderen Regionen, wie z. B. Europa, nicht das gleiche Maß an Schutz. Ferner hat die US-Regierung ihre Behörden mit Gesetzen wie dem Foreign Intelligence Surveillance Act von 1978 (FISA 702) und der Executive Order 12.333 ermächtigt, Massenüberwachungen von Nicht-Amerikanern durchzuführen.

Diese Unterschiede sind ohne ein spezielles Abkommen mit klaren Regeln für den Transfer und den Umgang mit Daten der Einwohner der EU und der USA nicht zu überwinden.

An dieser Stelle kommt das Konzept des Beschlusses über die Angemessenheit ins Spiel. Er gehört zu rechtlichen Maßnahmen, die die DSGVO für die Übermittlung personenbezogener Daten aus der EU in Drittländer vorsieht. Theoretisch sollte er den EU-Bürger die Gewissheit geben, dass ihre Daten, wenn sie in die USA exportiert, mit dem gleichen Schutzniveau wie innerhalb der EU verarbeitet werden. Die Geschichte zeigt jedoch, dass die EU-USA Datenabkommen dieses Versprechen nicht gehalten haben.

Der Safe-Harbor-Fall und das Schrems I-Urteil

Das Safe Harbor-Abkommen war der erste Rechtsrahmen zur Regelung des Datentransfers zwischen der EU und den USA. Es wurde im Jahr 2000 eingeführt und durch das Urteil Schrems I gekippt.

Mit dem Safe Harbor-Abkommen agierten US-Unternehmen basierend auf ihrer „Selbstzertifizierung“ über die Compliance mit europäischen Datenschutzvorschriften. Die Liste der Unternehmen, die sich auf das Abkommen beriefen, war über 5.000 Namen lang und umfasste Unternehmen wie Facebook und Google.

Safe Harbor begann unter dem Vorwurf zu bröckeln, dass die Nationale Sicherheitsbehörde der USA (NSA) durch den Zugriff auf die von Tech-Giganten gesammelten personenbezogenen Daten von EU-Bürgern gegen die in Artikel 8 der Europäischen Menschenrechtskonvention verankerten Grundrechte verstoßen haben könnte.

Der österreichische Rechtsanwalt Max Schrems beschwerte sich 2013 über den Transfer personenbezogener Daten von Facebook Ireland Ltd. an die US-Muttergesellschaft und den anschließenden Zugriff der US-Sicherheitsbehörden. Der Aktivist argumentierte, dass der Rahmen keinen ausreichenden Schutz für sein Recht auf Privatsphäre in den USA bietet.

Im Jahr 2015 stellte der EuGH fest, dass das Safe-Harbor-Programm personenbezogene Daten nicht ausreichend vor „Eingriffen“ der US-Regierung schützt. Das Urteil führte dazu, dass der Rahmen für ungültig erklärt wurde.

Der Ursprung des Privacy Shield und Schrems II

Privacy Shield sollte Probleme mit dem vorherigen Rahmenwerk beheben. Es trat am 12. Juli 2016 in Kraft.

Die Grundsätze des Privacy Shields waren jedoch weitgehend die gleichen wie bei Safe Harbor. Sie haben sich auch nach der Einführung der DSGVO nicht geändert. Seit Mai 2018 verarbeiteten US-Unternehmen europäische Daten auf eine Weise, die nicht mit dem aktuellen EU-Datenschutzrahmen übereinstimmte.

All dies führte zu einer weiteren Klage von Max Schrems vor dem EuGH. Im Jahr 2020 wurde das EU-US-Datenschutzabkommen aufgrund von Bedenken hinsichtlich der Überwachung durch US-Staats- und Strafverfolgungsbehörden gekippt. Dieses Urteil wurde später als Schrems II bekannt.

Der EuGH stellte fest, dass der Transfer personenbezogener Daten aus der EU in die USA rechtswidrig ist, wenn die Unternehmen nicht garantieren können, dass die Daten vor den US-Geheimdiensten sicher sind.

Wie wirkte sich das Schrems II-Urteil auf die Unternehmen aus?

Das Schrems II-Urteil betraf Tausende Unternehmen, darunter Giganten wie Facebook und Google. Privacy Shield galt nicht mehr als eine „Gruppenversicherung“.

Die Aufhebung des Abkommens bedeutete, dass es für den grenzüberschreitenden Transfer personenbezogener Daten aus der EU in die USA keine rechtliche Handhabe gab. Die Ausnahmen waren nur Standardvertragsklauseln (SCC). Für Unternehmen, die auf Datentransfers angewiesen sind, wurde es schwierig, mit US-Dienstleistern zusammenzuarbeiten.

Seit dem Urteil zum Privacy Shield reichte die Datenschutzorganisation NOYB 101 Beschwerden gegen Unternehmen ein, die Besucherdaten mit Google Analytics und Facebook Connect sammeln. Die Liste umfasst Vertreter verschiedener Sektoren, wobei Verlage und Finanzinstitute überwiegen.

Einige EU-Datenschutzbehörden erließen Bescheide, die den Einsatz von Plattformen wie Google Analytics praktisch verbieten:

Unternehmen, die die Dienste von Google und anderen auf den transatlantischen Datentransfer basierenden Plattformen nutzten, riskierten in dieser Zeit, dass Verbraucher, Verbraucherschützer und Datenschutzbehörden sie verklagen.

Sie finden mehr Informationen zu diesem Thema in unseren Artikeln:

Data Privacy Framework (Privacy Shield 2.0)

Am 10. Juli 2023 hat die Europäische Kommission ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. Er wird auch als Privacy Shield 2.0 bezeichnet.
Das neue Abkommen räumt einige der im Hinblick auf Schrems II geäußerten Bedenken aus. Es schränkt die Art und Weise ein, wie US-Nachrichtendienste Informationen sammeln können. Der Datenschutzrahmen EU-USA führt auch neue Bedingungen für die Erhebung personenbezogener Daten ein. Er stellt auch sicher, dass nur genau festgelegte Arten von Daten erfasst werden.

Der neue Rahmen ermöglicht es den EU-Bürgern, sich an den sogenannten Civil Liberties Protection Officer, dem Bürgerrechtsbeauftragten der US-Nachrichtendienste und ein unabhängiges Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) zu wenden. Die Gremien können Ansprüche genehmigen und bei Bedarf Abhilfemaßnahmen anordnen.

US-Unternehmen können dem Data Privacy Framework beitreten, indem sie sich verpflichten, dass sie die Datenschutzvorgaben einhalten. Dazu gehört die Pflicht, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind. Eine andere Pflicht besteht darin, den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden. Außerdem halten die Unternehmen die Grundsätze der Datenminimierung, der Zweckbindung und der Verhältnismäßigkeit ein.

Sie können mit der Verarbeitung personenbezogener Daten von EU-Bürger auf der Grundlage des Rahmens ab dem Zeitpunkt der Selbstzertifizierung beginnen.

Kontroversen um das Data Privacy Framework

Das neue Abkommen sieht eine Reihe Sicherheitsmaßnahmen und Vorgaben vor, um den Zugriff auf die Daten von EU-Bürgern durch die US-Überwachungsdienste zu begrenzen. Nach Ansicht von Datenschutz-Befürwortern reicht es jedoch nicht aus, um die europäischen Datenschutzstandards zu erfüllen.

Wir hatten jetzt ‘Harbors’, ‘Umbrellas’, ‘Shields’ und ‘Frameworks’ – aber keine substantielle Änderung des US-Überwachungsrechts. Die Presseerklärungen von heute sind fast eine wortwörtliche Kopie derer von vor 23 Jahren. Die bloße Behauptung, etwas sei „neu“, „robust“ oder „wirksam“, reicht vor dem Gerichtshof nicht aus. Wir brauchten eine Änderung des US-Überwachungsrechts, und die gibt es nicht. – fasst Schrems zusammen.

NOYB weist auf die kritischen Punkte des neuen Rahmens hin, darunter die folgenden:

FISA 702 und EO 12.333

Die USA haben FISA 702 nicht reformiert, obwohl der EuGH beurteilte, dass die nach dem Gesetz zulässige Massenüberwachung nicht „verhältnismäßig“ im Sinne von Artikel 52 der EU-Grundrechtecharta war. Stattdessen verwendet die US-Umsetzung des Rahmenwerks, EO 14086, eine weniger strenge Auslegung des Begriffs.

Da FISA und EO 12.333 unverändert bleiben, sind die Rechte von Nicht-US-Bürgern immer noch nicht gemäß dem vierten Verfassungszusatz in den USA und dem GRC in Europa geschützt.

Es ist unklar, ob die USA die umstrittenen Einträge im Rahmen ihrer FISA-Reform Ende des Jahres aus dem Gesetz streichen werden. Max Schrems vermutet, dass die US-Regierung möglicherweise nicht bereit ist, diese Maßnahme zu ergreifen, da der Beschluss zur Angemessenheit der Daten bereits unterzeichnet wurde.

Gericht zur Datenschutzüberprüfung (Data Protection Review Court)

NOYB argumentiert, dass das Data Protection Review Court kein echtes Gericht im Sinne des US-Rechts ist. Sie verweisen auf Ähnlichkeiten zwischen dem Gericht, dem Civil Liberties Protection Officer und der im Privacy Shield eingeführten Institution der „Ombudsperson”, die nach dem Urteil des EuGH nicht mit Artikel 47 des GRC vereinbar ist.

Die Organisation kritisierte auch den Umfang der Rechtsmittel, die den EU-Bürgern bereitstehen. NOYB erklärte, es gebe keine zusätzliche Garantie, dass sie angehört würden, über das hinaus, was in den vorherigen Rahmenwerken angeboten wurde.

Die Ansichten des EDSA und des Europäischen Parlaments zum neuen EU-US Datenschutzrahmen

Die EU-Gremien sind auch mit der derzeitigen Form des Rahmens unzufrieden. Vor der Umsetzung des Abkommens äußerten der Europäische Datenschutzausschuss (EDSA) und das Europäische Parlament (EP) Bedenken hinsichtlich der Datenschutzgarantien, die der Datenschutzrahmen bietet. Das EP hat die Europäische Kommission sogar aufgefordert, das Abkommen neu zu verhandeln oder es vor dem EuGH anzufechten:

[Das Europäische Parlament] fordert die Kommission auf, im Interesse der Unternehmen und Bürger in der EU zu handeln und sicherzustellen, dass der vorgeschlagene Rahmen eine solide, ausreichende und zukunftsorientierte Rechtsgrundlage für Datenübermittlungen zwischen der EU und den USA bietet; erwartet, dass jeder Angemessenheitsbeschluss, sollte er angenommen werden, erneut vor dem EuGH angefochten wird; hebt hervor, dass die Kommission – sollte der Angemessenheitsbeschluss vom EuGH erneut für ungültig erklärt werden – die Verantwortung dafür trägt, dass die Rechte der EU-Bürger nicht geschützt werden.

Auch andere EU-Datenschutzbehörden, darunter die Landesbeauftragten für Datenschutz und Informationsfreiheit von Baden-Württemberg und Hamburg, haben das neue Abkommen kritisiert:

Die Europäische Kommission wird nun zu entscheiden haben, ob ein der Sache nach gleichwertiger Schutz der personenbezogenen Daten in den USA gegeben ist. Fraglich ist bereits, ob die Kommission allein auf Grundlage der Executive Order überhaupt in der Lage ist, das Datenschutzniveau in den USA neu zu bewerten und einen Angemessenheitsbeschluss zu erlassen. Die Vielzahl der noch zu klärenden offenen Fragen lässt Zweifel daran aufkommen. In dieser elementaren Datenschutzfrage brauchen die Bürger_innen der EU allerdings ebenso Rechtssicherheit wie die hiervon tangierten europäischen und ausländischen Unternehmen. Sollte die Europäische Kommission die Grundrechte der EU-Bürger_innen nun zum dritten Mal in Folge hinter wirtschaftliche Interessen zurücktreten lassen, dann kann das der Europäische Gerichtshof schwerlich akzeptieren. – dr. Stefan Brink, der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg

Wie wirkt sich der neue Datenschutzrahmen auf EU- und US-Unternehmen aus

Die kurze Antwort lautet: Der Einsatz von Software, die Daten über den Atlantik sendet, wie z. B. Google Analytics und Facebook Ads, wird wieder legal, sobald ihre Anbieter zertifiziert sind. In Anbetracht der Debatte um den neuen Rechtsrahmen ist damit zu rechnen, dass bald weitere Beschwerden auftauchen werden. NOYB hat bereits seine nächsten Schritte angekündigt:

Wir haben bereits verschiedene juristische Optionen in der Schublade […]. Wir gehen derzeit davon aus, dass die Sache Anfang nächsten Jahres wieder vor dem Europäischen Gerichtshof landen wird. Der Gerichtshof könnte dann sogar das neue Abkommen während des Verfahrens aussetzen, sagt Schrems.

Es scheint, dass die USA ihren Rechtsrahmen, einschließlich FISA 702 und EO 13.222, anpassen müssen, damit ein Abkommen zustande kommt. Aber wir wissen nicht, wann oder ob das jemals geschehen wird.

Unternehmen, die das Schrems III-Szenario befürchten, könnten sichere Optionen für die Datenerhebung im Rahmen der DSGVO in Betracht ziehen. Zumal Urteile wie Schrems II rückwirkend gelten und eine Überprüfung Ihrer bestehenden Verträge erfordern, was Ihnen zusätzliche Pflichten auferlegt.
Hier einige Optionen:

  • Transfer beschränken/ausschließen und Daten anonymisieren. Big-Tech-Software hängt stark von der Identifizierung der Nutzer und dem Datentransfer ab. Wenn Sie die Übertragungen begrenzen oder personenbezogene Daten entfernen, lösen Sie dieses Problem, aber es hat seinen Preis. Sagen wir, sie konfigurieren Google Analytics gemäß den Richtlinien der französischen Datenschutzbehörde. Jetzt erfüllt es die Standards der DSGVO, aber er verliert die meisten seiner Funktionen.
  • Den Technologie-Stack mit EU-basierter Software aktualisieren. Schrems II öffnete eine Marktlücke für EU-Unternehmen, die Business- und Marketing-Software mit lokalem EU-Hosting anbieten. Diese Alternativen ermöglichen es Unternehmen, sich von der transatlantischen Datentransfer-Prozedur unabhängig zu machen.

Die Themen rund um das Privacy Shield 2.0 entwickeln sich dynamisch weiter. Wir werden Sie auf dem Laufenden halten.

In der Zwischenzeit empfehlen wir Ihnen, einen Blick auf die Piwik PRO Analytics Suite zu werfen. Sie hilft Ihnen, die DSGVO und andere Datenschutzgesetze weltweit einzuhalten und gleichzeitig wertvolle Nutzerdaten zu sammeln. Nehmen Sie Kontakt mit uns auf, wenn Sie mehr darüber erfahren möchten.