Von den Anfängen bis heute:
Im Jahr 2013 wurde durch Edward Snowden aufgedeckt, dass die US-Regierung mithilfe von "Big Tech"-Unternehmen und Programmen wie "PRISM" oder "Upstream" die Überwachung der Weltbevölkerung betrieben, ohne dass dafür ein konkreter Verdacht oder eine richterliche Genehmigung erforderlich war. Dies betraf nicht nur Straftaten oder Terrorismus, sondern auch die Spionage gegen europäische "Partner".
Gemäß einer EU-Richtlinie von 1995 dürfen personenbezogene Daten in der Regel nur dann außerhalb der EU übermittelt werden, wenn im Zielland ein vergleichbarer Schutz besteht. Die USA wurden seit 2000 aufgrund einer Entscheidung der Europäischen Kommission namens "Safe Harbor" als vergleichbar eingestuft. Jedoch erklärte der Europäische Gerichtshof (EuGH) diese Entscheidung in der Rechtssache C-362/14 ("Schrems I") im Jahr 2015 aufgrund der umfangreichen US-Überwachungsgesetze für ungültig. Im Jahr 2016 erließ die Europäische Kommission unter dem Namen "Privacy Shield" eine ähnliche Entscheidung zur Datenübermittlung zwischen der EU und den USA, die jedoch vom EuGH in der Rechtssache C-311/18 ("Schrems II") im Jahr 2020 aus denselben Gründen keine Gültigkeit erlangte.
Wie es scheint, wurde auch jetzt in der jüngsten Vereinbarung nicht das eigentliche Problem der Massenüberwachung nach FISA 702 seitens der USA angegangen, wodurch weiterhin nur US-Personen verfassungsmäßige Rechte haben und nicht ohne Anlass überwacht werden dürfen. Es bleibt abzuwarten, ob die Auslegung des Abkommens einer politischen Natur zugrunde liegt und wie es sich nach Verwendung erster Unternehmen entwickelt. Eine erste Evaluation des Angemessenheitsbeschlusses erfolgt nächstes Jahr.
Der Angemessenheitsbeschluss ermöglicht den Austausch personenbezogener Daten zwischen der EU und den USA ohne zusätzliche Maßnahmen. Das EU-US Data Privacy Framework begrenzt den Zugriff der US-Geheimdienste auf Daten, bietet Möglichkeiten zur Beschwerdeklärung für EU-Bürger (Aufbau eines speziellen Gerichts) und gewährleistet angemessenen Datenschutz beim Datenaustausch. US-amerikanische Unternehmen müssen sich beim U.S. Department of Commerce zertifizieren lassen. Kritiker bemängeln, dass das Framework dem EU-US Privacy Shield ähnelt und Bürgern der USA mehr Datenschutzrechte eingeräumt werden als EU-Bürgern. Max Schrems des Datenschutzvereins NOYB hat schon angekündigt, dass er und sein Team den Angemessenheitsbeschluss prüfen und bei Bedarf weitere Schritte einleiten werden.
Sein Kommentar zum Abkommen: »Man sagt, die Definition von Wahnsinn ist, dass man immer wieder das Gleiche tut und dennoch ein anderes Ergebnis erwartet. (...) Wir hatten jetzt ›Harbors‹, ›Umbrellas‹, ›Shields‹ und ›Frameworks‹ – aber keine substanzielle Änderung des US-Überwachungsrechts.« Die aktuellen Presseerklärungen seien fast eine wortwörtliche Kopie derer von vor 23 Jahren. »Die bloße Behauptung, etwas sei ›neu‹, ›robust‹ oder ›wirksam‹, reicht vor dem Gerichtshof nicht aus«, so Schrems.
Trotzdem werden viele Verantwortliche die Zertifizierung anstreben, um den Datenaustausch zu erleichtern. Es müssen jedoch weiterhin Verträge mit Dienstleistern abgeschlossen und die Verarbeitungstätigkeiten dokumentiert werden.
Information der Datenschutzbehörde zum neuen Angemessenheitsbeschluss für die Vereinigten Staaten:
Am 10. Juli 2023 wurde von der Europäischen Kommission ein neuer Angemessenheitsbeschluss gemäß Art. 45 DSGVO für die Vereinigten Staaten von Amerika angenommen, das sog. EU-U.S. Data Privacy Framework (siehe https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721).
Zu beachten ist, dass der Angemessenheitsbeschluss nur partiell gilt und nur Datenübermittlungen an jene Datenimporteure in den Vereinigten Staaten abdeckt, die in der sog. Data Privacy Framework List aufscheinen (eine Suche ist unter https://www.dataprivacyframework.gov/s/participant-search möglich).
Scheint ein Datenimporteur in den Vereinigten Staaten in dieser Liste auf, ist die Übermittlung personenbezogener Daten allein auf Basis des Angemessenheitsbeschlusses möglich und müssen keine weiteren Maßnahmen iSd. Art. 46 DSGVO gesetzt werden.
Hingegen müssen Datenübermittlungen an Datenimporteure in den Vereinigten Staaten, welche nicht unter das EU-U.S. Data Privacy Framework fallen, weiterhin auf andere geeignete Garantieinstrumente iSd. Art. 46 DSGVO (bspw. Standarddatenschutzklauseln samt ggf. zusätzlicher Maßnahmen) oder – falls anwendbar – auf Ausnahmetatbestände iSd. Art. 49 DSGVO gestützt werden.
Die Pressemitteilung können Sie hier lesen.
FAZIT:
Trotz der Erleichterung des Datenaustauschs zwischen den USA und der EU müssen Verantwortliche weiterhin berücksichtigen, ob Auftragsverarbeitungen gemäß Art. 28 Absatz 3 DSGVO oder gemeinsame Verantwortlichkeiten gemäß Art. 26 DSGVO vorliegen. Es ist wichtig, die relevanten Verträge mit Dienstleistern und Geschäftspartnern abzuschließen. Zudem müssen Informationen zur jeweiligen Verarbeitungstätigkeit gemäß Art. 13 DSGVO bereitgestellt und in das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO aufgenommen werden.
Sie haben Fragen dazu? Melden Sie sich gerne bei uns.
Quellenangabe:
https://www.dsb.gv.at/download-links/bekanntmachungen.html#Angemessenheitsbeschluss
https://noyb.eu/de/european-commission-gives-eu-us-data-transfers-third-round-cjeu