Europas Datenschützer machen Weg für EU-US-Datenschutzvereinbarung frei

Wie schlägt sich das im vergangenen Jahr neu ausgehandelte "Data Privacy Framework" (DPF) der EU und den USA aus Sicht der Datenschutzaufsicht? Die Stellungnahme des Europäischen Datenschutzausschuss dazu war mit einiger Spannung erwartet worden, denn daraus könnte sich ableiten lassen, ob auch der dritte Anlauf für einen rechtssicheren Transfer personenbezogener Daten aus der EU in die USA vor dem Europäischen Gerichtshof (EuGH) scheitern würde.

Doch dafür spricht nach der am Dienstag beschlossenen gemeinsamen Stellungnahme der EU-Datenschutzaufsichtsbehörden wenig. "Wir sehen den Willen, ein angemessenes Schutzniveau für Betroffene, deren personenbezogenen Daten an Unternehmen in die USA übermittelt werden, zu schaffen", kommentiert der Bundesdatenschutzbeauftragte Ulrich Kelber das Prüfungsergebnis des Europäischen Datenschutzausschusses (EDSA). Stärker unter die Lupe nahmen die Datenschutzaufsichtsbehörden den Text der sogenannten Angemessenheitsentscheidung. Das ist der Rechtsakt, mit dem die EU-Kommission den USA ein zwar nicht identisches, aber vergleichbares Schutzniveau für die Verarbeitung personenbezogener Daten bescheinigen will.

Zusicherungen aus den USA

Da es in den USA kein bundeseinheitliches Datenschutzrecht gibt, ging dem neuerlichen Anlauf mehr als ein Jahr an Verhandlungen voraus. Die Biden-Regierung änderte zum einen über sogenannte Präsidialverfügungen die Ausführungsbestimmungen für Gesetze, etwa im Bereich der Datenverarbeitung durch Nachrichtendienste und die Bedingungen, unter welchen diese und die Strafverfolgungsbehörden Daten überhaupt sammeln, auswerten und weitergeben dürfen und ob es gegen Sammlungen gangbare juristische Wege für EU-Bürger gibt, dagegen vorzugehen. Damit sollte den Bedenken des EuGH begegnet werden. Die eigentliche Gesetzeslage wurde dabei jedoch nicht angepasst, da es hierfür bislang keine politischen Mehrheiten im Repräsentantenhaus der USA gab. Entsprechend mussten die EU-Datenschutzbehörden nun prüfen, ob die Zusicherungen und zusätzlich übersandte Erläuterungen der US-Regierung eine ausreichende Grundlage für den Angemessenheitsbeschluss bieten können.

In ihrer umfangreichen Stellungnahme erheben die Datenschützer Einwände sehr unterschiedlicher Tragweite, bleiben aber weit entfernt von der Kritik an den Vorgängern PrivacyShield und SafeHarbor. Deutliche Verbesserungen sehen die Datenschützer etwa beim Zugang zu Rechtsbehelfen, also wenn Nutzer gegen mutmaßliche Verstöße gegen die US-Zusicherungen diese prüfen lassen wollen.

Problematisch bleibt aus Sicht der Datenschutzaufsichtsbehörden hingegen etwa, dass Massenerfassungen auf Basis des berühmt-berüchtigten Foreign Intelligence Surveillance Act (FISA) weiterhin ohne Genehmigungsvorbehalt eines richterartigen Gremiums stattfinden dürfen. Bei anderen Kritikpunkten fordern die Datenschützer von der EU-Kommission weitere Informationen ab, doch insgesamt ist das Ergebnis der Prüfung überraschend positiv.

"Bisher nicht dagewesene Zugeständnisse"

Der Hamburgische Datenschutzbeauftragte Thomas Fuchs etwa begrüßt, dass damit der Weg für die Angemessenheitsentscheidung frei scheint: "Im Zuge der Verhandlungen haben die USA bisher nicht dagewesene Zugeständnisse gemacht und ihr nationales Sicherheitsrecht an europäische Grundrechtsmaßstäbe angepasst." Der Beschluss des EDSA könne jedoch kein Freibrief sein, mahnt er: "Ob und inwiefern tatsächlich Geheimdienstaktivitäten auf ein verhältnismäßiges Maß reduziert werden und wirksamer Rechtsschutz gewährleistet ist, kann nur die Umsetzung in der Praxis zeigen." Die europäischen Datenschutzbehörden hatten der Kommission unter anderem eine strenge Überwachung der tatsächlichen Umsetzung als Maßgabe mit auf den Weg gegeben – so sollte die Kommission etwa spätestens alle drei Jahre eine grundsätzliche Überprüfung des DPF durchführen.

Der Angemessenheitsbeschluss dürfte nun relativ problemlos die weiteren Instanzen passieren, das Europaparlament könnte ihn nur mit absoluter Mehrheit zurückweisen. Das scheint nach der EDSA-Stellungnahme allerdings nahezu ausgeschlossen. Doch erst wenn die noch ausstehenden formellen Schritte vollzogen sind und der Angemessenheitsbeschluss in Kraft ist, können sich Unternehmen auf die neue Rechtsgrundlage berufen.

Damit Unternehmen dann personenbezogene Daten unter den Regeln des "Data Privacy Framework" in die USA übertragen und dort verarbeiten dürfen, müssen diese sich einem speziellen Aufsichtsregime der US-Handelsaufsicht (FTC) oder des Handelsministeriums (Department of Commerce) unterwerfen. Hierzu müssen sie ihre Teilnahme anmelden, sofern sie die Kriterien nicht erfüllen drohen bei Selbstverpflichtungsverstößen in den USA oft empfindliche Strafen.

()