Jahrelang wartete die Wirtschaft auf mehr Rechtssicherheit. Jetzt hat die EU-Kommission den neuen Angemessenheitsbeschluss erlassen, das Trans-Atlantic Data Privacy Frameworks („TADPF“). Rechtsanwalt Rolf Becker, ECC CLUB Mitglied und Partner bei Wienke & Becker, erläutert die Folgen.
Drei Jahre Ungewissheit gehen zu Ende
Ziemlich genau drei Jahre hat es bis heute gedauert, seit der Europäische Gerichtshof (EuGH) das Nachfolgeabkommen zu Safe Harbour, den unter „Privacy Shield“ bekannten Angemessenheitsbeschluss mit Urteil vom 16. Juli 2020 (Az. C-311/18) für ungültig erklärte. Damit fehlte plötzlich eine rechtliche Grundlage für die Datenübertragung von personenbezogenen Daten und deren Verarbeitung in die USA, auf die sich die meisten Unternehmen berufen hatten. Dies hatte erhebliche Auswirkungen auf Unternehmen, die insbesondere Softwaredienstleistungen des digitalen Weltmarktführers USA nicht mehr ohne Weiteres einsetzen konnten. Die europäische Datenschutzgrundverordnung (DSGVO) erlaubt den Datentransfer in ein Nicht-EU-Land, wenn die Daten dort in einem vergleichbaren Niveau geschützt sind, wie in der EU. Ansonsten bedarf es weiterer Garantien. Das Privacy Shield Abkommen sollte eine einfachere Möglichkeit sicherstellen.
EuGH gingen Eingriffsmöglichkeiten zu weit
Dem EuGH fehlte bei den nahezu unbeschränkten Eingriffsmöglichkeiten von NSA, FBI und Heimatschutz ein angemessener Rechtsschutz für die EU-Bürger. Hier gab es nur einen Ombudsmann mit wenig Macht gegen US-Gesetze wie den Foreign Intelligence Surveillance Act (FISA), der behördliche Massenüberwachungsmaßnahmen („PRISM“ und „UPSTREAM“) ermöglichte. Damit ereilte das Privacy Shield Abkommen das gleiche Schicksal, wie schon zuvor das Vorgängerabkommen „Safe Harbour“ in 2015. Als viele US-Unternehmen auf die Entscheidung reagierten und die Verarbeitung von Daten auf Tochterunternehmen, die in der EU ansässig sind, verlagerten, wurde auch deren Beteiligung zwischenzeitlich kritisch behandelt.
Angemessenheitsbeschluss und angemessenes Schutzniveau
Obwohl man sich gleich an die Reparaturarbeiten machte, dauerte es bis zum März 2022, bis sich EU-Kommission und USA auf das neue „Trans-Atlantic Data Privacy Framework“ einigten. US-Präsident Biden erließ am 07.10.2022 zur Umsetzung im US-Recht die Executive Order „Enhancing Safeguards for United States Signals Intelligence Activities“. Auf dieser Basis war auch ein neuer Angemessenheitsbeschluss für das Frühjahr 2023 erwartet worden, der erst jetzt jetzt am 10.07.2023 durch die EU-Kommission erlassen wurde, nachdem im Februar 2023 der Europäische Datenschutzausschuss grünes Licht gegeben hatte.
Mit dem Datenschutzrahmen EU-USA werden neue verbindliche Garantien eingeführt, um vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen. Unter anderem soll der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt werden und es wird ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) in den USA geschaffen, zu dem Einzelpersonen aus der EU-Zugang haben.
Nach Artikel 45 Abs. 3 DSGVO kann die Europäische Kommission beschließen, dass ein Drittland außerhalb der EU ein „angemessenes Schutzniveau“ bietet, das heißt einen Schutz personenbezogener Daten, der dem in der EU gebotenen Schutz der Sache nach gleichwertig ist. Angemessenheitsbeschlüsse haben zur Folge, dass personenbezogene Daten aus der EU (sowie aus Norwegen, Liechtenstein und Island) in ein Drittland übermittelt werden können, ohne dass es weiterer Schutzmaßnahmen bedarf.
US-Unternehmen müssen sich zertifizieren lassen
Ganz so einfach ist der weitere Fortgang jetzt nicht. US-Unternehmen können sich nun dem neuen Datenschutzrahmen zwischen EU und USA anschließen, indem sie sich entsprechend zertifizieren. Stand Mitte Juli sind es bereits ca. 2600 Unternehmen. Im Rahmen der Zertifizierung, die jährlich zu wiederholen ist, geben die Unternehmen bestimmte Verpflichtungserklärungen zur Einhaltung von Datenschutzgrundsätzen ab. Diese sind im Anhang 1 des Angemessenheitsbeschlusses aufgeführt.
Die Erleichterung für EU-Unternehmen besteht jetzt darin, dass Datentransfers an zertifizierte US-Unternehmen ohne weitere Garantien erfolgen können. Insbesondere müssen auch die neuen Standardvertragsklauseln nicht mehr abgeschlossen werden.
TIA in bestimmten Situationen weiter notwendig
Wenn es um Unternehmen geht, die noch nicht zertifiziert sind, benötigt man weiterhin Standardvertragsklausel-Abreden und zuvor eine dokumentierte Abwägung, die den Behörden im Zweifelsfall vorzulegen ist. Zu erarbeiten ist ein Transfer Impact Assessment (TIA). Bei einem TIA handelt es sich um eine Analyse des Sicherheitsniveaus des jeweiligen Drittlandes, die durch ein Unternehmen selbst durchgeführt wird. Darin sind neben den aufzuführenden tatsächlichen Umständen zu den geplanten Übermittlungen die geltenden Rechtsvorschriften im Bestimmungsland zu prüfen, wie z. B. der US Cloud Act, der Unternehmen zur Offenlegung von Daten gegenüber US-Behörden zwingt und ergänzende Maßnahmen in die Abwägung einzubeziehen, bevor dann nach positiver Abwägung die Standardvertragsklauseln abgeschlossen werden können.
In diesem Rahmen kommt dann der Executive Order eine wichtige Rolle zu, die mehr Schutz vor staatlichen Datenzugriffen bieten soll. Diese erleichtern nach Angaben der EU-Kommission die Datentransfers, weil sie ein in dieser Beziehung dann immer noch notwendiges Transfer Impact Assessment (TIA) positiv unterstützen.
Wird es dieses Mal halten?
Niemand wundert sich, dass es bereits Kritik gibt und es dürfte nicht allzu lange dauern, bis das neue Abkommen erneut vor dem EuGH landet. Bei „Privacy Shield“ dauerte es 4 Jahre. Noyb, die Datenschutzorganisation von Max Schrems, der auch die anderen Abkommen erfolgreich angegriffen hatte, hat bereits angekündigt, die Entscheidung dem Gericht vorlegen zu wollen.
Unternehmen müssen jetzt Prüfungen durchführen
Wer es mit zertifizierten Unternehmen aus den USA zu tun hat, der sollte jetzt prüfen, ob man die Datenübermittlung und weitere Verarbeitungen auf den Angemessenheitsbeschluss stützt oder weiter auf Standardvertragsklauseln. Im letzteren Fall muss man immer noch ein positives TIA durchgeführt haben.
Zudem müssen die Einwilligungskonzepte für die Datenübermittlung in Drittländer geprüft werden. Hier gehören einmal mehr die Cookie-Texte auf den Prüfstand und alle Dokumente, auf die sich die Änderungen auswirken können.
ÜBER DEN AUTOR
Rechtsanwalt Rolf Becker ist Partner der Rechtsanwälte WIENKE & BECKER in Köln und Autor von Fachbüchern und Fachartikeln zum Wettbewerbsrecht, Markenrecht und Vertriebsrecht insbesondere im Fernabsatz. Als Mitglied im ECC CLUB kommentiert Rechtsanwalt Becker für das ECC KÖLN regelmäßig aktuelle Urteile zum Online-Handel und gibt Händlern praktische Tipps, wie sie mit den gesetzlichen Vorgaben umgehen sollen.
RA Becker auf Twitter: http://twitter.com/rolfbecker
Er ist auch Autor auf den Informationsdiensten www.versandhandelsrecht.de.
PRESSEHINWEISE
Gerne dürfen Sie den Text von Herrn Becker redaktionell weiterverwenden. Bitte geben Sie hierbei die URL zum Rechtstipp sowie folgende Quelle an: RA Rolf Becker WIENKE & BECKER / ECC Rechtstipp. Bitte senden Sie ein Belegexemplar bzw. den Link zur Veröffentlichung an presse(at)ifhkoeln.de. Vielen Dank!