Im Dezember hatte ich über den Entwurf für den Beschluss und die Hintergründe berichtet (siehe https://datalawcounsel.com/er-ist-da-entwurf-fuer-aequivalenzentscheidung-zu-usa/). Nun ist endlich er endlich in der Welt (Volltext: https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework.pdf) und wird den Transfer von personenbezogenen Daten aus der Europäischen Union in die Vereinigten Staaten erleichtern. Seit der sog. Schrems II-Entscheidung des EuGH in 2020 (Rs. C‑311/18), die den vorherigen Äquivalenzbeschluss für nichtig erklärt hatte, war dieses Thema eines der größten Hemmnisse für die Nutzung von Diensten mit US-Bezug.
Im neuen Äquivalenzbeschluss wird nun festgelegt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. „Angemessen“ soll heißen: vergleichbar mit dem Schutzniveau in der EU. Grundlage sind Änderungen im US-Regelwerk, welche die Biden-Administration durchgesetzt hatte, um die Bedenken des Gerichtshofs zu berücksichtigen – und die tatsächlich einen Fortschritt bedeuten für Betroffenenrechte und deren Durchsetzung. Im Prinzip kann die Übermittlung personenbezogener Daten in die Vereinigten Staaten auf dieser Basis nun so gestaltet werden wie auch in andere Drittstaaten, für die bereits ein Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 DSGVO vorliegt.
Die im Beschluss festgehaltenen Voraussetzungen müssen dabei eingehalten werden. So ist auch der Data Privacy Framework nur anwendbar auf Unternehmen und Organisationen, die sich „zertifizieren“ lassen, wobei dies wie schon wie beim früheren Privacy Shield nicht mehr ist als eine Selbstverpflichtung mit Überwachungs- und Kontrollkompetenzen des Department of Commerce (DoC). Ich gehe davon aus, dass zumindest die großen Player wie Microsoft, Google, Amazon usw. hier schon in den Startlöchern stehen und das schnell umsetzen.
Ein in der Praxis großes Problem für europäische Unternehmen war nämlich, dass man sich zwar im Bemühen um eine sichere Lösung einen Dienstleister aus der EU oder dem Europäischen Wirtschafstraum (EWR) als Auftragsverarbeiter ausgesucht hatte, um nicht in die Schrems II-Falle zu laufen. Diese Anbieter sich dann aber z.B. als Host-Provider einen der großen Cloud-Anbieter mit Muttergesellschaft in den USA nutzten. Und die bloße Zugriffsmöglichkeit auf in Europa gespeicherte und verarbeitete Daten hat ausgereicht, um einen Datentransfer in die Vereinigten Staaten und damit eine rechtswidrige Verarbeitung zu begründen. Dieses Problem sollte sich also zeitnah erledigen.
There is more to come: Ich werde weiter berichten über die genauen Anforderungen an einen rechtssicheren Datentransfer in die USA, welche Sicherheitsvorkehrungen, d.h. technisch-organisatorischen Maßnahmen gleichwohl zwingend bzw. sinnvoll sind, dazu was die Aufsichtsbehörden dazu raten und welche Kritik es zum Beschluss gibt. Denn ob der Data Privacy Framework ein erneutes Verfahren vor dem EuGH bestehen wird, ist zumindest fraglich. Es bleibt spannend.
