Das EU-US-Data Privacy Framework und die Auswirkungen auf Unternehmen in der EU

Nach Safe Harbor und Privacy Shield hat die Europäische Kommission am 10. Juli 2023 das Trans-Atlantic Data Privacy Framework (DPF oder auch Privacy Shield 2.0) genehmigt und damit erneut eine rechtliche Grundlage für die Übermittlung personenbezogener Daten in die USA geschaffen. Die Kommission kam in ihrem Beschluss zu dem Ergebnis, dass die von den USA vorgenommenen Änderungen ihrer nationalen Rechtsvorschriften nun ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an Organisationen mit Sitz in den USA übermittelt werden. Aber ist das so? Viele Fragen im Zusammenhang mit dem neuen Abkommen lassen unmittelbar nach seinem Inkrafttreten Zweifel an seiner Nachhaltigkeit aufkommen.

Erfahre, welche Probleme hinsichtlich des transatlantischen Datentransfers immer noch ungelöst sind und welche Konsequenzen sich daraus für Unternehmen ergeben.

Vom Rückblick bis heute: Status quo zum Data Privacy Framework

Um das Data Privacy Framework und die Risiken für Unternehmen besser einordnen zu können, ist ein kurzer Rückblick auf frühere Abkommen und die Gründe für deren Scheitern unerlässlich.

Bereits seit Mitte der 90er Jahre schützen verschiedene EU-Gesetze die Privatsphären der Bürger:innen – teils in einem starken Gegensatz zu den USA. Sollen personenbezogene Daten außerhalb der EU verarbeitet werden, verlangt die EU ein Datenschutzniveau, das dem europäischen entspricht. Um eine Regelung für die Verarbeitung personenbezogener Daten in den USA zu schaffen, haben die EU und die USA im Jahr 2000 das Safe Harbor-Abkommen geschlossen. Aufgrund der massiven Verschärfung der Überwachungsgesetze in den USA nach dem 11. September 2001 hat der Europäische Gerichtshof (EuGH) Safe Harbor am 6. Oktober 2015 nach einer Klage des österreichischen Juristen Max Schrems für nichtig erklärt.

Das EU-US-Privacy Shield folgte, welches jedoch das gleiche Schicksal ereilte wie die vorangegangene Version. Auch die Angemessenheitsentscheidung der Europäischen Kommission zum Privacy Shield wurde am 16. Juli 2020 vom EuGH nach einer erneuten Klage von Max Schrems für ungültig erklärt. Diese Entscheidung ging als Schrems 2-Urteil in die Rechtsgeschichte ein.

Das Schrems 2-Urteil betraf tausende von Unternehmen und Megakonzerne wie Facebook und Google. Die Aufhebung des Abkommens bedeutete, dass es keine rechtliche Handhabe für die grenzüberschreitende Übermittlung personenbezogener Daten aus der EU in die USA mehr gab. Nach dem Urteil zum Privacy Shield hat die Datenschutzorganisation NOYB (Non of Your Business) mehr als einhundert Beschwerden gegen Unternehmen eingereicht, die Besucher:innendaten mit Google Analytics oder Facebook Connect sammelten. Empfindliche Geldstrafen sprach erst kürzlich die schwedische Datenschutzbehörde IMY gegen vier Unternehmen aus. Und auch noch nach dem Inkrafttreten des Data Privacy Framework entschied die norwegische Datenschutzbehörde Datatilsynet, dass Google Analytics weiterhin unrechtmäßig Daten in die USA übermittelt hatte.

Erst nachdem die Europäische Kommission einigen in den USA ansässigen Unternehmen den Status der Angemessenheit für Datenübermittlungen gemäß dem EU-US-Datenschutzrahmen zuerkannt hat, wurde Google zu einem „zugelassenen Unternehmen“. Das heißt, momentan ist der Einsatz aller US-Dienstleister:innen (also auch Google) rechtssicher, sofern diese unter dem DPF zertifiziert sind.

Kommt Schrems 3?

Die Frage ist aber: Wie lange? Denn auch zum DPF in seiner aktuellen Form lassen sich dunkle Wolken am Horizont bereits erahnen. Die Ursache dafür hat einen Namen: Max Schrems. Er hat bereits angekündigt, dass NYOB auch dieses neue Abkommen abermals vor Gericht anfechten wird. Schrems‘ Meinung zufolge weist auch das neue Privacy Shield erhebliche Mängel auf. Aus seiner Sicht ist der neue transatlantische Datenschutzrahmen weitgehend eine Kopie des gescheiterten Privacy Shield. Denn am US-Recht oder am Ansatz der EU habe sich wenig geändert.

Die grundsätzlichen Probleme mit beispielsweise dem US-Gesetz FISA 702 (Foreign Intelligence Surveillance Act) wurden von den USA nicht angegangen, da die USA nach wie vor der Ansicht sind, dass nur US-Personen verfassungsmäßige Rechte genießen können. Wichtige europäische Institutionen wie der Europäische Datenschutzausschuss (EDPB) und das Europäische Parlament standen dem neuen Rahmenabkommen kritisch gegenüber und forderten die Europäische Kommission sogar auf, es neu zu verhandeln. Darüber hinaus scheinen auch einige lokale europäische Datenschutzbehörden skeptisch zu sein, wie zum Beispiel Datatilsynet in Norwegen, die nach der Verabschiedung des neuen Rahmenabkommens eine Erklärung abgab, in der es hieß:

Das große Problem mit Google Analytics scheint gelöst zu sein. Wir schließen jedoch nicht aus, dass es noch andere Datenschutzprobleme mit diesem Tool gibt.

Schrems 3 erscheint unter diesen Voraussetzungen also als sehr wahrscheinlich. Allein die Erkenntnis, dass auch der nun dritte Versuch scheitern könnte, dürfte aus Unternehmenssicht für genügend Frustpotenzial sorgen. Dabei braucht die digitale Wirtschaft dringend klare Spielregeln, um nicht auf der Stelle zu treten.

Wirksame Gegenstrategien

Wie bereits erwähnt, ist der Einsatz von Software, die Daten über den Atlantik sendet – wie zum Beispiel Google Analytics und Facebook Ads – legal, sobald die Anbieter:innen zertifiziert sind. Trotzdem lohnt es sich für Unternehmen, über sichere Optionen für die Datenerhebung unter der DSGVO nachzudenken und so – für alle Fälle – „Schrems-3-sicher“ zu werden. Dabei kommt es vor allem auf drei Aspekte an:

1. Beschränkung/Ausschluss des Datentransfers und Anonymisierung der Daten: Als ersten Schritt sollten Unternehmen schnellstmöglich ein Technologie-Audit durchführen, um alle Datenströme zu erfassen und die Systeme zu identifizieren, die auf Datentransfers in die USA angewiesen sind. Big Tech Software ist in hohem Maße von der Identifizierung der Benutzer:innen und der Übertragung von Daten abhängig. Die Einschränkung der Übertragung oder das Löschen personenbezogener Daten löst dieses Problem, hat aber ihren Preis. Wird Google Analytics beispielsweise gemäß den Richtlinien der europäischen Datenschutzbehörden konfiguriert, entspricht es den Standards der DSGVO – aber es verliert viele seiner Funktionen.
   
2. Aktualisierung des Technologie-Stacks mit EU-basierter Software: Wo immer möglich, sollten Unternehmen zu EU-Anbieter:innen mit EU-Hosting wechseln. Auf diese Weise können Probleme bei der Datenübermittlung beseitigt und die Systeme Schrems-3-sicher gemacht werden. Bereits Schrems 2 hat eine Marktlücke für EU-Unternehmen eröffnet, die Business und Marketing Software mit lokalem EU-Hosting anbieten. Diese Alternativen machen Unternehmen unabhängig von transatlantischen Datentransfers.
   
3. Genaue juristische Prüfung: Ist kein Wechsel möglich, sollten sich Unternehmen mit ihren juristischen und technischen Teams beraten, um zusätzliche Sicherheitsvorkehrungen zu treffen. Auch dadurch lassen sich potenzielle Risiken minimieren. Aber: Der Aufwand, fraglichen Datentransfer in ein Drittland wieder in die richtigen Bahnen zu lenken, ist schnell sehr hoch. Zudem muss der:die Kooperationspartner:in im Ausland regelmäßig mitwirken. Unternehmen sollten daher im Vorfeld genau abwägen, ob sich dieser mühsame Weg lohnt und als einzige Maßnahme Erfolg verspricht.

Fazit

Der Datenschutz stellt heute einen der wichtigsten Entwicklungsbereiche in der digitalen Wirtschaft dar. Dabei ist und bleibt die Einführung eines nachhaltigen Datenübertragungsmechanismus zwischen der EU und den USA die zentrale Aufgabe. Das Chaos der Vergangenheit darf sich nicht wiederholen.

Die Schrems-Urteile und die Ankündigungen von NYOB haben gezeigt, dass beliebte Technologien, die von US-amerikanischen Big-Tech-Unternehmen angeboten werden, insbesondere aus dem Marketing und der digitalen Analytik, auch nach Inkrafttreten des Data Privacy Frameworks ein erhebliches Risiko darstellen können. Diese Unsicherheiten und rechtlichen Grauzonen müssen minimiert und so muss Unternehmen eine klare Richtlinie für den Umgang mit personenbezogenen Daten an die Hand gegeben werden.

Solange die EU-Datenschutzgrundsätze und die Eingriffe der US-Behörden in diese unvereinbar bleiben, sollten Unternehmen Vorkehrungen treffen und sich keinem unnötigen Risiko aussetzen. Zentraler Aspekt hierbei: Lokale Datenspeicherung innerhalb der EU. Als Sofortmaßnahme gilt ein Wechsel zu EU-Anbieter:innen mit EU-Hosting als Option. Dadurch lässt sich die unrechtmäßige Datenübermittlung in die USA konsequent ausschließen und Systeme werden dadurch auf alle Fälle Schrems-3-sicher.