EU-U.S. Data Privacy Framework 2.0.

Nachdem die Safe-Harbour-Entscheidung und der gescheiterte EU-U.S.-Privacy Shield für Unsicherheit im Datenschutz gesorgt haben, haben sich die Präsidentin der Europäischen Kommission von der Leyen und der U.S.-Präsident Biden auf einen neuen transatlantischen Datenschutzrahmen (EU-U.S. Data Privacy Framework) geeinigt. Dieser Rahmen soll es ermöglichen, Tracking-, Analytic- und Marketing-Tools aus den USA wieder problemlos zu nutzen, ohne auf Standardvertragsklauseln zurückgreifen zu müssen. Bis dahin ist es jedoch noch illegal, personenbezogene Daten in die USA zu übermitteln, wenn dabei U.S.-Tools verwendet werden, die solche Daten in die USA senden. Was du als Marketer über den internationalen Datentransfer wissen solltest, erfährst du in diesem Blogbeitrag.

Der aktuelle Stand

Der Europäische Datenschutzausschuss (European Data Protection Board, kurz EDPB) hat die Verbesserungen des neuen Datenschutzrahmens bekanntgegeben. Dabei spielt insbesondere die Begrenzung der Datenverarbeitung durch U.S-Nachrichtendienste auf das notwendige und verhältnismäßige Maß eine wesentliche Rolle. Der neue Rechtsbehelfsmechanismus wird grundsätzlich als geeignet angesehen, um die Rechte der betroffenen Personen in der EU zu stärken. Allerdings hat der EDPB Bedenken bezüglich der praktischen Umsetzung des Datenschutzrahmens und der möglichen Ausnahmen für eine vorübergehende Massenerhebung von Daten in den USA geäußert. Deshalb empfiehlt der EDPB, dass die neue Angemessenheitsentscheidung nicht nur von der Verabschiedung, sondern auch von der praktischen Umsetzung der Executive Order 14086 abhängig gemacht werden sollte, um die Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten der USA zu verbessern. Im Vergleich zum Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments steht der EDPB der Angemessenheitsentscheidung der EU weniger kritisch gegenüber. Durch die positiven Rückmeldungen des EDPB ist es unwahrscheinlich, dass es bei der für Mitte des Jahres geplanten Verabschiedung der neuen Angemessenheitsentscheidung zu Verzögerungen kommt.
Dem Entwurf des Data Privacy Frameworks zwischen der EU und den USA steht der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments jedoch ablehnend gegenüber. Das hat mehrere Gründe, darunter die Ansicht, dass der Erlass der Biden-Administration keinen ausreichenden zusätzlichen Schutz für personenbezogene Daten bietet. Die darin vorgesehenen Schutzmaßnahmen seien unzureichend, da der Präsident sie jederzeit einfach wieder aufheben oder ändern könne. Darüber hinaus sei die von Biden verabschiedete Executive Order in vielen Punkten zu unbestimmt, was U.S.-Gerichten weiterhin genügend Interpretationsspielraum lassen würde, um massenhafte Datensammlungen zu genehmigen – insbesondere, wenn es um die nationale Sicherheit der USA ginge.

So geht es weiter

Der EDPB muss den Angemessenheitsbeschluss der Europäischen Kommission für den Datenschutzrahmen zunächst genehmigen, bevor dieser in Kraft treten kann. Obwohl der EDPB den neuen Datenschutzrahmen begrüßt hat, fordert er von der Europäischen Kommission eine Erklärung zu den von ihm aufgeführten Zweifeln. Sobald der EDPB entscheidet, dass der Angemessenheitsbeschluss den Anforderungen des EuGH (Schrems II) entspricht, kann die Europäische Kommission den Beschluss erlassen. Dies könnte dazu führen, dass zertifizierte U.S.-Unternehmen endlich wieder einen sicheren Datentransfer aus der EU in die USA auf Basis des neuen Datenschutzrahmens durchführen können. Es ist jedoch unklar, wie lange die Beurteilung durch den EDPB dauern wird. Vermutlich wird der neue Datenschutzrahmen Mitte 2023 in Kraft treten wird.

Fazit

Solange das neue EU-U.S. Data Privacy Framework nicht in Kraft tritt, empfehlen wir weiterhin die Verwendung von Standardvertragsklauseln. Diese von der EU-Kommission bereitgestellten Mustervorlagen sollen sicherstellen, dass personenbezogene Daten auch dann den europäischen Datenschutzstandards entsprechen, wenn sie in Drittländer wie die USA übertragen und dort gespeichert werden. Es ist also weiterhin erforderlich, dass du bei jedem Nicht-EU-Dienstleister individuell überprüfst, ob das Datenschutzniveau den Anforderungen der DSGVO entspricht. Der EDPB hat dazu Empfehlungen für die sichere Übermittlung personenbezogener Daten aus der EU veröffentlicht.