Es vergeht derzeit wohl kaum ein Tag, an dem die neue Regierung um US-Präsident Donald Trump nicht für neue Schlagzeilen sorgt. Einige der Entscheidungen, die derzeit in Washington, D. C. getroffen werden, könnten sich auch auf datenschutzrechtliche Aspekte in Europa auswirken. So drohen Verantwortlichen, die personenbezogene Daten derzeit auf Grundlage des EU-U.S. Data Privacy Frameworks in die USA übermitteln, erneut rechtliche Unsicherheiten. Unter Berücksichtigung der oftmals selbstverständlichen Nutzung von Cloud- und KI-Anwendungen US-amerikanischer Anbieter, könnte dies eine Vielzahl von Unternehmen, Behörden und Vereinen treffen.
Was ist das EU-U.S. Data Privacy Framework (DPF)?
Mit dem DPF wird zertifizierten Unternehmen in den USA ein im Verhältnis zur Europäischen Union vergleichbares Datenschutzniveau attestiert. Es räumt Bürgern der Europäischen Union gegenüber US-amerikanischen Unternehmen neue Rechte ein, zum Beispiel das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung unrichtiger oder unrechtmäßig verarbeiteter personenbezogener Daten. Weiterhin bestehen verschiedene Rechtsbehelfe sowie unabhängige Streitbeilegungsmechanismen und ein Schlichtungsgremium.
Die US-amerikanischen Unternehmen können ihre Teilnahme am DPF zertifizieren lassen, indem diese sich verpflichten, verschiedene datenschutzrechtliche Anforderungen (z. B. Zweckbindung, Datenminimierung) einzuhalten. Die Zertifizierungsanträge werden durch das US-Handelsministerium bearbeitet. Dieses überwacht ebenfalls, ob die teilnehmenden Unternehmen die Zertifizierungsanforderungen weiterhin erfüllen.
Möglich ist ein solches Vorgehen auf Grundlage des Art. 45 DS-GVO, wonach die Europäische Kommission unter Prüfung verbindlich definierter Kriterien sogenannte Angemessenheitsbeschlüsse treffen kann. Vorteil: In die betreffenden Länder kann eine Übermittlung personenbezogener Daten auf Grundlage des Angemessenheitsbeschlusses erfolgen. Es bedarf sodann – neben der Beachtung der sonstigen datenschutzrechtlichen Vorschriften – keiner weiteren besonderen Vorkehrungen, wie beispielsweise des Abschlusses von Standardvertragsklauseln und der Durchführung einer Transferfolgenabschätzung.
Wieso könnte das EU-U.S. Data Privacy Framework in Gefahr sein?
Möglich wurde das DPF insbesondere aufgrund von Änderungen der Rechtslage in den USA: Nachdem im März 2022 bekannt wurde, dass die EU und die USA an einem Nachfolgeabkommen zum EU-US-Privacy Shield arbeiten, erfolgte im Oktober 2022 der Erlass einer Executive Order über die Verbesserung der Garantien für US-Signalspionagetätigkeiten (Executive Order (EO) 14086). Hierdurch wurde die Grundlage für die Umsetzung des DPF geschaffen. Auf Grundlage der Executive Order folgte am 13. Dezember 2022 der Beschlussentwurf der Europäischen Kommission über die Angemessenheit des Schutzniveaus personenbezogener Daten nach dem DPF.
Mittels Executive Orders (deutsch: Durchführungsverordnung) können US-Präsidenten ohne Zustimmung des Kongresses rechtlich verbindliche Regelungen erlassen. Diese gelten zeitlich unbefristet, können jedoch durch einen amtierenden US-Präsidenten zu jeder Zeit abgeändert oder zurückgenommen werden.
Einerseits steht nun die benannte Executive Order, auf der das DPF beruht, in ihrer Gesamtheit auf der Kippe. Andererseits habe die US-Regierung bereits die demokratischen Mitglieder des Privacy und Civil Liberties Oversight Board (PCLOB) zum Rücktritt aufgefordert. Dies stellt eine unmittelbare Gefährdung der Funktionsfähigkeit des PCLOB dar, welches unter anderem für die Überwachung der Einhaltung der Vorgaben des DPF ist. Insofern könne auch die Begrenzung der Zugriffe von US-Geheimdiensten auf ein notwendiges und verhältnismäßiges Maß nicht mehr hinreichend kontrolliert werden.
Eine derartige Entwicklung könnte nun dafür sorgen, dass die Europäische Kommission den bestehenden Angemessenheitsbeschluss widerruft, ändert oder aussetzt (Art. 45 Abs. 5 DS-GVO). Aber auch im Rahmen eines Verfahrens vor dem Europäischen Gerichtshof könnte der Angemessenheitsbeschluss auf Grundlage des DPF kassiert werden. Ein Schicksal, dass bereits die Vorgänger-Abkommen „Safe Harbour“ und „Privacy Shield“ ereilte. Konkrete Anzeichen lassen sich derzeit jedoch noch (?) für keines der beiden Szenarien finden.
Wie sollten Verantwortliche mit der Situation umgehen?
In jedem Fall empfiehlt es sich, einen genauen Überblick darüber zu haben, inwieweit personenbezogene Daten in die USA (und andere Länder außerhalb der Europäischen Union) übermittelt und cloudbasierte Anwendungen von Anbietern mit Sitz in diesen Ländern verwendet werden. Insbesondere sofern solche Übermittlungen im Rahmen von geschäftskritischen Prozessen stattfinden, sollten alternative Übermittlungsmechanismen (z. B. Standardvertragsklauseln) geprüft und vorbereitet oder zumindest bereitgehalten werden.
Darüber hinaus empfiehlt sich stets eine Prüfung, ob mittels vergleichbarer Software-Alternativen mit Verarbeitungsort innerhalb der Europäischen Union derartige Datenübermittlungen für die Zukunft reduziert werden könnten. Weiterhin können auch geeignete und wirksame Verschlüsselungsverfahren angewandt werden. Hierbei sollte jedoch stets ein kritischer Blick darauf gelegt werden, an welchem Ort und durch wen die zugehörigen Schlüssel verwaltet werden.
Panik ist zum gegenwärtigen Zeitpunkt nicht angebracht. Verantwortliche sollten sich jedoch der Risiken bewusst sein und sich zumindest einen möglichen Plan B ohne EU-U.S. Data Privacy Framework zurechtlegen.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
