Datenschutzrahmen EU-USA

Der Datenschutzrahmen EU-USA (englisch EU-US Data Privacy Framework, DPF) ist eine informelle Vereinbarung zwischen der Europäischen Union und den Vereinigten Staaten von Amerika zum elektronischen Datenaustausch. Die Vereinbarung wird durch Rechtssetzung auf beiden Seiten umgesetzt, die die Reziprozität voraussetzt. Der Datenschutzrahmen trat im Juli 2023 in Kraft. Er soll durch Feststellung der Angemessenheit des Datenschutzniveaus in den Vereinigten Staaten – sofern sich die Unternehmen beim Handelsministerium der Vereinigten Staaten selbst zertifizierten – die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in die Vereinigten Staaten legitimieren, ohne dass zusätzliche Datenschutzgarantien gewährt werden.^[1][2]

Durchführungsbeschluss (EU) 2023/1795
Titel:	Durchführungsbeschluss (EU) 2023/1795 der Kommission vom 10.7.2023 gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates über die Angemessenheit des Schutzniveaus für personenbezogene Daten nach dem Datenschutzrahmen EU-USA
Rechtsmaterie:	Datenschutzrecht
Inkrafttreten:	10. Juli 2023
Fundstelle:	ABl. L 231 vom 20.9.2023, S. 118
Volltext	Konsolidierte Fassung (nicht amtlich) Grundfassung
Regelung ist in Kraft getreten und anwendbar.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

Der Datenschutzrahmen ersetzt die Rechtsakte der Kommission zum „Sicheren Hafen“, nachdem der Europäische Gerichtshof diese im Jahre 2015 für ungültig erklärte, und zum „EU-US-Datenschutzschild“, der 2020 für ungültig erklärt wurde.

Das EU-Parlament bezweifelte, dass die von Ursula von der Leyen erzielte neue Vereinbarung mit dem EU-Recht konform ist, da sie EU-Bürger nicht ausreichend vor der Massenüberwachung durch die USA schütze und grundlegende Menschenrechte in der EU nicht durchsetzt.^[3] Im Mai 2023 verabschiedete das EU-Parlament mit 306 Pro- gegen 27 Contra-Stimmen eine Resolution hierzu, die bisher ohne Konsequenz blieb^[4]. Die Nichtregierungsorganisation NOYB (European Center for Digital Rights) hat angekündigt, erneut zu versuchen, die Datenübermittlung vor dem Europäischen Gerichtshof außer Kraft zu setzen.^[5] Ob der Datenschutzrahmen einer Überprüfung durch den Europäischen Gerichtshof standhält, ist umstritten.^[6]

Geschichte

Safe-Harbor (Framework)

Mit dem am 1. Januar 2000 geschlossenen „Safe-Harbor-Abkommen“, das als Safe-Harbor Framework bekannt wurde (auf Deutsch: „sicherer Hafen“), sollte der elektronische Datenaustausch zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA) legitimiert werden.^[7] Angestrebt wurde, dass Unternehmen konform mit der europäischen Datenschutzrichtlinie persönliche Daten aus der Europäischen Union in die USA übermitteln können, um den Geschäftsverkehr mit den Vereinigten Staaten datenschutzrechtlich abzustimmen.^[8] Mit dem Safe-Harbor Abkommen einigten sich die USA mit der EU-Kommission auf sieben sogenannte Safe-Harbor-Principles und 15 FAQs, die als Leitlinien zur Umsetzung für die Datenexporteure und -empfänger gelten.^[8] Voraussetzung für die legitime Datenübertragung war, dass sich als US-amerikanische Unternehmen als Empfänger personenbezogener Daten aus Mitgliedstaaten der EU verpflichteten, diese Daten nach den vorgenannten Regelungen zu schützen. Dabei konnten die Unternehmen beim Beitritt zum Safe-Harbor-Abkommen selbst entscheiden, für welche Art der personenbezogenen Daten sie die Safe-Harbor-Principles anwenden – also auf welche persönlichen Daten sich die Prinzipien beziehen.^[8]

Schrems I

Am 6. Oktober 2015 entschied der EuGH, dass die Entscheidung 2000/520/EG der Kommission (vom 26. Juli 2000 gem. der Richtlinie 95/46) über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der FAQs (Leitlinien) gewährleisteten Schutzes ungültig ist.^[9][10] Ab diesem Zeitpunkt bestand Rechtssicherheit, dass eine Datenübermittlung aus der EU in die USA, die lediglich auf die Safe-Harbor-Entscheidung gestützt wurde, ab sofort untersagt ist.^[10]

Die Gründe dafür waren unter anderem, dass das Abkommen auf der Selbstzertifizierung US-amerikanischer Unternehmen unter das Safe Harbor-Framework gestützt war und die Einhaltung der Grundsätze desselben von Behörden in den USA nicht verlangt oder kontrolliert wurde.^[8] Auch wurde in der Entscheidung der EU-Kommission zu den Grenzen des Safe-Harbor-Abkommens festgelegt, dass US-Unternehmen US-amerikanischen gesetzlichen Verpflichtungen uneingeschränkt nachkommen müssen, auch wenn diese den Grundsätzen des Safe-Harbor-Abkommens entgegenstehen.^[8]

Deshalb war es unter dem Safe-Harbor-Abkommen zulässig, dass personenbezogene Daten aus der EU in die USA übermittelt wurden und dort ohne Vornahme einer Differenzierung, Ausnahme oder Beschränkung gespeichert wurden, ohne die Möglichkeit, das Zugreifen amerikanischer Behörden zu kontrollieren, einschränken oder verhindern zu können.^[8][11]

Weil die EU-Kommission im Angemessenheitsbeschluss zum Safe-Harbor-Abkommen keine Schlussfolgerung bezüglich der Auswirkungen der innerstaatlichen Gesetze in den USA auf die Angemessenheit des Schutzniveaus vornahm, erklärte der EuGH die Entscheidung der Kommission mit Verweis auf die in der Charta festgeschriebenen Grundsätze (Art. 7, Art. 47) im Ergebnis für ungültig.^[8][11]

EU-US Privacy Shield

Am 12. Juli 2016 handelten die EU-Kommission und die Vereinigten Staaten einen neuen Rechtsrahmen zur Übermittlung personenbezogener Daten aus der EU in die USA zu gewerblichen Zwecken aus – mit dem EU-US Privacy Shield (auch „Datenschutzschild“ oder „Privacy Shield“).^[12][13] Damit sollten die Bedenken, die der EuGH mit dem Urteil „Schrems I“ 2015 aufzeigte, berücksichtigt werden, um die elektronische Übermittlung personenbezogener Daten zwischen EU und USA zu legitimieren.^[13] Auch das Privacy Shield beruhte auf einer Selbstzertifizierung. Um dem Abkommen beizutreten, mussten sich teilnehmende US-Unternehmen zur Wahrung der Privacy Shield Principles verpflichten und den US-amerikanischen Behörden – allen voran dem Department of Commerce (US-Handelsministerium) – unterordnen, welches befugt war, die Unternehmen auf Einhaltung der Privacy Principles zu überprüfen.^[13][14] Unternehmen, die dem Abkommen beitraten und die Regelungen verletzten, würden aus der Liste teilnehmender Firmen entfernt und müssten alle gespeicherten personenbezogenen Daten löschen oder die entsprechenden Unterlagen aushändigen.^[12]

Das Inkrafttreten des EU-US Privacy Shields wurde von gewerblichen Branchen in der EU und den USA befürwortet, ließ aber gleichzeitig die kritischen Stimmen bezüglich des Datenschutzniveaus EU-USA nicht verstummen. Insbesondere einige europäische Verbraucherverbände – unter anderem der Europäische Verbraucherverband (BEUC) – und politische Entscheidungsträger in der EU hielten die Neuregelung für unzureichend.^[13]

Schrems II

Am 16. Juli 2020 erklärte der EuGH den Durchführungsbeschluss zum Privacy Shield für unwirksam.^[15] In seinem Urteil^[16] stellte der Europäische Gerichtshof erneut klar, dass personenbezogene Daten von EU-Bürgern nur dann an Drittländer übermittelt werden dürfen, sofern sie in dem Drittland einen gleichwertigen Schutz wie in der EU genießen.

Dies hat der EuGH im Fall des EU-US-Privacy Shields verneint. Denn der Beschluss ermöglichte weiterhin, dass US-Behörden fast uneingeschränkten Zugang zu personenbezogenen Daten von EU-Bürgern auf Servern in den USA haben. Der EuGH stellte fest, dass der Privacy-Shield-Beschluss 2016/1250 genauso wie sein Vorgänger, die Safe-Harbor-Entscheidung 2000/520, Eingriffe in die Grundrechte von Personen ermöglicht, deren personenbezogene Daten in die USA übermittelt werden und damit den „Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird“.^[17]

Der EuGH erklärte den Durchführungsbeschluss über die Angemessenheit des EU-US Privacy Shields der Europäischen Kommission für ungültig, so dass ein legitimer Transfer personenbezogener Daten in die USA erneut nicht gegeben war.^[17]

Grundsätze der Datenübermittlung EU–USA

Jede Übermittlung personenbezogener Daten aus der EU in ein Drittland erfordert gemäß der Datenschutzgrundverordnung, dass das Drittland die Grundsätze der DSGVO befolgt und ein angemessenes Datenschutzniveau gewährleistet oder der für die Daten Verantwortliche (Datenexporteur) die Einhaltung des Datenschutzes garantiert.^[18] Angemessen ist das Schutzniveau des Drittlandes nur, wenn es dem Schutzniveau in der EU zumindest entspricht.^[18] Dann kann die Europäische Kommission dies durch einen Angemessenheitsbeschluss festlegen, der es ermöglicht, dass für die Datenübermittlung in das Drittland keine weitere Schutzmaßnahme durch geeignete Garantien getroffen werden muss.^[19] Wenn ein Drittland einem Angemessenheitsbeschluss unterliegt, müssen also keine zusätzlichen Maßnahmen ergriffen werden, um den Schutz der personenbezogenen Daten zu gewährleisten.^[19]

Unternehmen, die personenbezogene Daten zwischen der EU und den USA übertrugen, stützten sich wegen der Verwerfung des Privacy Shield-Beschlusses zumeist auf von der Kommission zur Verfügung gestellte Standardvertragsklauseln und führten zusätzlich zum Beispiel Transfer Impact Assessments (TIA) (Bewertung des Schutzniveaus für Datenübermittlung) durch, um geeignete Garantien für die Wahrung des Datenschutzes zu gewährleisten.^[18] Selbst dann befand sich die Datenübermittlung in die USA in einer rechtlichen Grauzone.^[10]

Durchführungsrechtsakt: Angemessenheitsbeschluss

Aufgrund von Angemessenheitsbeschlüssen können personenbezogene Daten legitim aus dem Europäischen Wirtschaftsraum (EWR), zu dem die 27 EU-Mitgliedstaaten, Norwegen, Island und Liechtenstein gehören, in Drittländer übermittelt werden, ohne dass dies weiterer Maßnahmen oder Genehmigungen bedarf.^[1]

Es liegt in der Zuständigkeit der EU-Kommission, auf Grundlage von Art. 45 der EU-Verordnung 2016/679 zu entscheiden, ob ein Drittland außerhalb der EU ein angemessenes Datenschutzniveau gewährleistet.^[20] Für einen Angemessenheitsbeschluss bedarf es unter anderem eines Vorschlags der EU-Kommission, einer Stellungnahme des EDSA (Europäischer Datenschutzausschuss) und einer Zustimmung der Vertreter der EU-Länder.^[20]

Regelungen des EU-US Data Privacy Framework

Als Nachfolger des EU-US Privacy Shield trat am 10. Juli 2023 das EU-US Data Privacy Framework in Kraft, als die Europäische Kommission den Angemessenheitsbeschluss für den neuen Datenschutzrahmen EU-USA annahm.^[1] Demnach können die USA ein im Vergleich zur EU angemessenes Schutzniveau für personenbezogene Daten sicherstellen. Dieses richtet sich an alle Unternehmen, die am neuen Datenschutzrahmen zwischen EU und USA teilnehmen.^[1] Eine Zertifizierung und die Teilnahme nach dem DPF können US-Unternehmen bescheinigen, wenn sie sich verpflichten, detaillierte Datenschutzpflichten einzuhalten.^[1]

Um die vom EuGH im Schrems-II-Urteil aufgezeigten Einwände zu berücksichtigen, fügte die Executive Order 14086 („Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“) des US-Präsidenten Joe Biden als Grundlage des Angemessenheitsbeschlusses weitere Garantien hinzu.^[1]

Dazu gehört zum einen die Garantie, dass US-Nachrichtendienste nur noch auf personenbezogene Daten aus der EU zugreifen sollen, wenn dies notwendig und verhältnismäßig ist.^[1] Geltende Überwachungsgesetze wie beispielsweise Section 702 des Foreign Intelligence Surveillance Act (FISA) gelten aber weiterhin, da eine Executive Order keine gesetzlichen Regelungen außer Kraft setzen kann. Die rechtliche Definition von Notwendigkeit und Verhältnismäßigkeit ergibt sich aus FISA und der amerikanischen Rechtstradition und ist nicht identisch mit der Verwendung in Artikel 52 der Charta der Grundrechte der Europäischen Union.^[21]

Die andere Garantie ist, dass EU-Bürgern weitere Rechte gegenüber US-Unternehmen (Datenempfängern) eingeräumt werden sollen, um den Zugang zu ihren Daten, die Löschung oder Berichtigung unrichtiger oder unrechtmäßiger Daten durchzusetzen. Für diesen Rechtsbehelf wird ein neuer Beschwerdemechanismus geschaffen. Dieser besteht aus dem unter dem Direktor der nationalen Nachrichtendienste angesiedelten Civil Liberties Protection Officer (CLPO) und dem im Justizministerium eingerichteten Data Protection Review Court (DPRC). Als Kontrollinstanz wird das bereits bestehende Privacy and Civil Liberties Oversight Board (PCLOB) beauftragt, welches auch einen jährlichen Bericht vorlegen muss.^[22]

Die Anträge US-amerikanischer Unternehmen werden vom Handelsministerium der Vereinigten Staaten verwaltet und dahingehend überwacht, dass die zertifizierten Unternehmen die Anforderungen nach Abschluss der Zertifizierung weiterhin erfüllen. Dazu gehört eine jährliche Re-Zertifizierung jedes teilnehmenden US-Unternehmens.^[1] Die Liste der DPF-zertifizierten Unternehmen ist auf der Seite des Data Privacy Frameworks veröffentlicht.^[23][24]

Instabilität, rechtliche Fragilität und Kritik

Da der Datenschutzrahmen auf der Executive Order 14086 und den darauf basierenden nachgelagerten Behördenanordnungen beruht, spielt das Handeln der Exekutive in den Vereinigten Staaten eine wichtige Rolle.

Eine der ersten Verfügungen, die Donald Trump als 47. Präsident der U.S.A. unmittelbar nach seinem Amtsantritt am 20. Januar 2025 unterzeichnete, besagt, dass jede Entscheidung seines Vorgängers zur nationalen Sicherheit (auch zu EU-US-Datentransfers) geprüft wird.^[25] Aufsehen erregten im Zusammenhang mit dem Datenschutzrahmen auch die von Trump erlassene Executive Order 14215, die Entfernung von Mitgliedern des Privacy and Civil Liberties Oversight Board (PCLOB) und die Executive Order 14203.^[22]

Der Abschluss des transatlantische Datenschutzrahmen von 2023 zog herbe Kritik vom Europäischen Parlament nach sich, da US-Geheimdienste weiterhin weitreichend Zugriff auf personenbezogene Daten von EU-Bürgern haben.^[26] Der Jurist Max Schrems, der als Kläger beider Verfahren „Schrems I und II“ die Vorgänger des Data Privacy Frameworks zu Fall brachte, stellte in Aussicht, dass gegen den aktuellen Nachfolger juristische Schritte eingeleitet werden, so dass auch die Gültigkeit des EU-US Data Privacy Framework vor dem EuGH entschieden wird.^[27]

Im Jahr 2023 reichte der französische Abgeordnete Philippe Latombe eine Klage ein, um den Datenschutzrahmen für ungültig erklären zu lassen. Eine Anhörung vor dem Gerichtshof der Europäischen Union fand am 1. April 2025 statt. Mit einer Entscheidung des Gerichts wird im Laufe des Jahres 2025 gerechnet.^[28]

Literatur

• Fanderl, Niclas, von Blumenthal: Vorstellung des EU-US Data Privacy Shield Frameworks als Privacy-Shield Nachfolger. In: ITRB. Heft Nr. 02, 2023, S. 29.^[18]
• Schuster, Hunzinger: Zulässigkeit von Datenübertragung in die USA nach dem Safe-Harbor-Urteil. In: Computer und Recht. Heft Nr. 12, 2015, S. 787.^[10]
• Schneider: Handbuch EDV-Recht. 5. Auflage. 2017, S. Rn. 413.^[7]
• Mathias Lejeune: Datentransfer in die USA nach der EuGH-Entscheidung zum Safe-Harbor Framework. In: ITRB. Heft Nr. 11, 2015, S. 249–272.^[8]
• Mathias Lejeune: Der EU-US Privacy Shield: eine neue Grundlage zum Datenaustausch mit den USA. In: ITRB. Heft Nr. 11, 2015, S. 193–216.^[12]