Bereits vor zwei Wochen berichteten wir im Rahmen eines Blog-Beitrags über die aktuellen Entwicklungen in den USA mit Blick auf das EU-U.S. Data Privacy Framework (DPF) und möglichen Folgen für Verantwortliche. In einem kürzlich auf LinkedIn veröffentlichten Beitrag wird nun deutlich, dass das DPF womöglich kurz vor dem Aus stehen könnte: Die Europäische Kommission wird seitens Mitgliedern des Europäischen Parlaments aufgefordert, die Grundlagen des Angemessenheitsbeschlusses zu prüfen.
Schreiben an die Europäische Kommission
Das veröffentliche Schreiben des Vorsitzenden des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE), Javier Zarzalejos, enthält eine an den EU-Kommissar für Demokratie, Justiz und Rechtsstaatlichkeit, Michael McGrath, gerichtete Aufforderung, zu prüfen, inwiefern sich die aktuellen Entwicklungen in den USA auf den Angemessenheitsbeschluss, insbesondere unter Berücksichtigung des Schrems II – Urteils, auswirken. Konkret heißt es:
„The LIBE Committe has learned that some members of the PCLOB were recently removed by the White House from their positions. As there ist only one out of five Board members remaining, the PCLOB is no longer operational due to not reaching the minimum level of members required to have a quorum. Therefore, I would be grateful if you could provide me wit he Commissions’s assessment of whether the above-mentioned changes affect the adequacy of the Data Privacy Framework, including whether the mechanism still meets the requirements of „essential equivalence“ as established by the Court of Justice in case C-311/18 Schrems II.“
Die Darstellungen decken sich insoweit auch mit einer Berichterstattung von Bloomberg. Abzuwarten bleibt, wie sich die Europäische Kommission hierzu verhält beziehungsweise ob und wann möglicherweise eine Aberkennung des Angemessenheitsbeschlusses erfolgt.
Mögliche Folgen
In den Kommentaren des benannten LinkedIn-Beitrags wird kontrovers diskutiert, welche konkreten Folgen eine mögliche Aberkennung des Angemessenheitsbeschlusses haben könnte. Schließlich bestehen neben einem Angemessenheitsbeschluss (Art. 45 DS-GVO) noch eine Reihe weiterer Übermittlungsgrundlagen, mittels derer die Übermittlung personenbezogener Daten in die USA legitimiert werden könnte. Allen voran sind die seitens der Europäischen Kommission verabschiedeten Standardvertragsklauseln zu benennen.
Oftmals wird jedoch übersehen, dass nicht in allen Sektoren ein Wechsel auf die Standardvertragsklauseln erfolgen kann. So heißt es zum Beispiel in § 80 Abs. 2 SGB X: „Der Auftrag zur Verarbeitung von Sozialdaten darf nur erteilt werden, wenn die Verarbeitung im Inland, in einem anderen Mitgliedstaat der Europäischen Union, in einem diesem nach § 35 Absatz 7 des Ersten Buches gleichgestellten Staat, oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat oder in einer internationalen Organisation erfolgt.“ Eine Übermittlung auf Grundlage der Standardvertragsklauseln ist demnach explizit nicht vorgesehen.
Weiterhin muss kritisch hinterfragt werden, inwiefern eine Datenübermittlung in der Breite überhaupt noch auf die Standardvertragsklauseln gestützt werden könnte. Schließlich bedarf der Abschluss der Standardvertragsklauseln nach Klausel 14 die Durchführung einer Transferfolgenabschätzung, wonach ebenfalls die „relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes“ gebührend berücksichtigt werden müssen. Unter Wahrnehmung der derzeit stattfinden Einwirkungen auf rechtsstaatliche Prinzipien, wird eine objektiv durchgeführte und nicht vom (positiven) Ergebnis her argumentierte Transferfolgenabschätzung des Öfteren negativ ausfallen werden müssen.
Insofern wird zukünftig eine stärkere Fokussierung auf umzusetzende technische Maßnahmen zu legen sein. Allen voran ist hierbei die Verschlüsselung nach aktuellem Stand der Technik zu nennen, wobei diese wohl auch nur dann als wirksamer Schutzmechanismus bezeichnet werden kann, wenn eine Verwaltung der Schlüssel nicht durch den identischen oder einen weiteren US-Dienstleister erfolgt. Diese Anforderung mag zwar banal klingen, findet in der Praxis jedoch meist zu wenig Berücksichtigung. Mit Umsetzung einer wirksamen Verschlüsselung können datenschutzrechtliche Problematiken reduziert oder ganz ausgeschlossen werden. Jedoch muss ebenfalls darauf hingewiesen werden, dass eine Reihe verbreiteter Cloud-Dienste mit verschlüsselten Informationen nicht (vollständig) nutzbar sind.
Spätestens an dieser Stelle ergibt sich die Empfehlung zur Prüfung vergleichbarer Software-Alternativen mit Verarbeitungsort innerhalb der Europäischen Union – wohlwissend, dass sich auch hierüber nicht immer eine passende Lösung finden lassen wird.
Fazit
Auch nach wie vor ist zum gegenwärtigen Zeitpunkt keine Panik angebracht. Die ersten Anzeichen machen jedoch deutlich, dass noch in diesem Jahr eine Änderung der Rechtslage eintreten könnte. Insofern bleibt es bei dem Resümee des vor kurzem veröffentlichten Blog-Beitrags: Verantwortliche sollten sich zumindest einen möglichen Plan B ohne EU-U.S. Data Privacy Framework zurechtlegen.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
