Der transatlantische Datenaustausch ist für Handel und Wirtschaft von grundlegender Bedeutung, steht aber seit Jahren im Mittelpunkt rechtlicher und datenschutzrechtlicher Diskussionen. Mit der Einführung des EU-US Data Privacy Framework (DPF) 2023 soll eine neue Grundlage für einen sicheren Datentransfer geschaffen werden. Der Europäische Datenschutzausschuss (EDSA) hat sich jetzt mit der Umsetzung des Angemessenheitsbeschluss für die USA beschäftigt und ein erstes Zwischenfazit gezogen.
Diese Fortschritte gibt es bei der Umsetzung des DPF
Nach dem Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache „Schrems II“ wurden erhebliche Mängel im bisherigen Datenschutzabkommen, dem Privacy Shield, festgestellt. Das DPF wurde entwickelt, um die Kritik des EuGH zu adressieren und die Datenschutzstandards zwischen der EU und den USA zu harmonisieren.
Die erste Überprüfung des DPF durch die EDSA zeigt Fortschritte insbesondere in den folgenden Punkten:
- Selbstzertifizierung der Unternehmen: Das US-Handelsministerium hat alle relevanten Schritte unternommen, um den Zertifizierungsprozess umzusetzen. Dazu gehören die Entwicklung einer neuen Website, die Aktualisierung der Verfahren, die Zusammenarbeit mit Unternehmen und die Durchführung von Sensibilisierungsmaßnahmen. Bislang wurden über 2.800 Organisationen zertifiziert.
- Rechtsdurchsetzung: Das DPF sieht ein mehrstufiges Beschwerdeverfahren einschließlich eines unabhängigen Schiedsverfahrens vor. Auf beiden Seiten des Atlantiks wurden umfassende Richtlinien für den Umgang mit Beschwerden veröffentlicht.
Bedenken gegen staatlichen Datenzugriff
Nach Einschätzung der EDSA sind die Kontrollen der Einhaltung der DPF-Grundsätze durch die US-Behörden jedoch noch unzureichend. Die geringe Zahl der bisher eingegangenen Beschwerden im Rahmen des DPF zeige, wie wichtig es sei, dass die US-Behörden Überwachungsmaßnahmen einleiten, um zu überprüfen, ob DPF-zertifizierte Unternehmen die wesentlichen DPF-Prinzipien einhalten. Die EDSA fordert daher verstärkte Kontrollen.
Ein zentrales Anliegen der Überprüfung betrifft den staatlichen Zugriff auf Daten durch US-Behörden, insbesondere durch Geheimdienste. Hier sind die im DPF verankerten Grundsätze der Erforderlichkeit und Verhältnismäßigkeit entscheidend. Die Executive Order 14086 wurde als Fortschritt bewertet, es bestehen jedoch weiterhin Bedenken:
- Die USA erlauben weiterhin Massenüberwachungsmaßnahmen ohne vorherige unabhängige Genehmigung, was den Anforderungen des Europäischen Gerichtshofs widerspricht.
- Section 702 des U.S. Foreign Intelligence Surveillance Act (FISA) regelt die Überwachung von Nicht-US-Bürgern außerhalb des US-Territoriums, z.B. durch die NSA. Hier wurde der Umfang der Überwachungsmaßnahmen erheblich ausgeweitet, was Fragen der Transparenz und Vorhersehbarkeit aufwirft.
Der EDSA betont, dass diese Fragen bei künftigen Überprüfungen vorrangig behandelt werden sollten.
Rechtsdurchsetzung und Rechtsbehelfe
Das neu eingeführte Data Protection Review Court (DPRC) bietet EU-Bürgern verbesserte Möglichkeiten zur Rechtsdurchsetzung. Dennoch gibt es Herausforderungen:
- Mangelnde Transparenz: Entscheidungen des DPRC können nicht angefochten werden, was die Rechenschaftspflicht einschränkt.
- Kein Praxistest: Bis zur Überprüfung im Juli 2024 wurde keine einzige Beschwerde eingereicht, so dass die tatsächliche Funktionsweise der Mechanismen nicht getestet werden konnte.
Der EDSA hat nach der Prüfung konkrete Empfehlungen ausgesprochen, darunter
- Stärkung der proaktiven Durchsetzung: US-Behörden wie das Handelsministerium und die Federal Trade Commission sollten ihre Überwachungsaktivitäten verstärken.
- Klärung der gesetzlichen Definitionen: Unklare Begriffe wie „electronic communications service provider“ in Section 702 FISA müssen geklärt werden, um Rechtssicherheit zu gewährleisten.
- Stärkere Kontrolle des Datenzugriffs: Insbesondere die Nutzung kommerziell verfügbarer Daten durch Nachrichtendienste sollte stärker reguliert und kontrolliert werden.
Die nächste Überprüfung des DPF sollte innerhalb von drei Jahren stattfinden, um diese offenen Punkte anzugehen und weitere Fortschritte sicherzustellen.
Fazit: Das EU-US Data Privacy Framework markiert einen wichtigen Schritt in Richtung eines sicheren transatlantischen Datenaustauschs, steht jedoch weiterhin vor erheblichen Herausforderungen. Es bleibt abzuwarten, ob die USA auch unter der neuen Regierung auf die Bedenken des EDSA eingehen, um langfristig ein mit den EU-Datenschutzstandards vergleichbares Schutzniveau zu gewährleisten.