Am 10. Juli nahm die Europäische Kommission ihre lang erwartete Angemessenheitsentscheidung für die Vereinigten Staaten an. Dies ist der letzte Schritt zur Umsetzung des Transatlantischen Datenschutzrahmens (Trans Atlantic Data Privacy Framework, DPF), eines bilateralen Rahmens zwischen der EU und den USA, der einen einfacheren Datenverkehr zwischen den USA und den EU/EWR-Ländern ermöglicht.
Nicht jeder ist über diese Entscheidung glücklich. Das Europäische Parlament hat sich negativ zu dem neuen Rahmen geäußert, und die Datenschutz-NGO noyb, die sich sehr für den Datenschutz einsetzt, hat bereits angekündigt, dass sie die Angemessenheitsentscheidung vor dem Europäischen Gerichtshof anfechten wird. Das ist nichts Neues. Mit den Urteilen in den Rechtssachen Schrems I und II wurden bereits zwei Rahmenregelungen für die Datenübermittlung für ungültig erklärt. Aller Voraussicht nach wird Schrems III die Feuertaufe für den Rahmen sein. Und es ist wirklich schwer zu sagen, wie es ausgehen wird.
Aber was genau ist die DPF? Wie wirkt sie sich auf die Datenübermittlung aus, und welche rechtlichen Fragen wirft sie auf? Finden wir es heraus!
- Was ist der Transatlantische Datenschutzrahmen?
- Wird der Transatlantische Datenschutzrahmen das Problem der Datenübermittlung zwischen der EU und den USA lösen?
- Wie funktioniert der Transatlantische Datenschutzrahmen?
- Was ist die Geschichte hinter der DPF?
- Abschließende Überlegungen
Was ist der Transatlantische Datenschutzrahmen?
Der Transatlantische Datenschutzrahmen ist ein von der US-Regierung und der Europäischen Kommission geschaffener Rahmen für die Datenübermittlung, der die Datenübermittlung zwischen den USA und der EU/dem Europäischen Wirtschaftsraum erleichtern soll. Es handelt sich jedoch nicht um ein internationales Abkommen im engeren Sinne, da es auf internen Rechtsakten innerhalb des Rechtsrahmens der USA und der EU beruht. Diese internen Rechtsakte sind das Ergebnis umfangreicher Verhandlungen zwischen den USA und der EU.
Auf europäischer Seite gibt es die oben erwähnte Angemessenheitsentscheidung. Ein Angemessenheitsbeschluss ist ein einseitiger Rechtsakt der Europäischen Kommission, mit dem anerkannt wird, dass ein Drittland (in diesem Fall die USA) über einen ausreichend soliden Datenschutzrahmen verfügt, und daher grünes Licht für Datenübermittlungen in dieses Land gegeben wird.
Auf amerikanischer Seite gibt es die Executive Order 14086, die im Oktober 2022 von Präsident Joe Biden unterzeichnet wurde. Eine Executive Order ist eine Anordnung des Präsidenten an öffentliche Verwaltungen (in diesem Fall an Geheimdienste). Executive Order 14086 enthält Regeln, die die Befugnisse der Geheimdienste im Umgang mit bestimmten strategischen Verbündeten, einschließlich der EU, (etwas) einschränken. Außerdem wird ein Rechtsbehelfssystem eingerichtet, um die Internet-Überwachung von Personen in der EU und im EWR besser kontrollieren zu können.
Wird der Transatlantische Datenschutzrahmen das Problem der Datenübermittlung zwischen der EU und den USA lösen?
Das wird er, wenn der Europäische Gerichtshof ihn nicht verwirft - und das ist ein großes Wenn.
Zwei ältere Rahmenwerke (Safe Harbor und Privacy Shield) wurden vom Gerichtshof bereits für ungültig erklärt, weil sie keinen ausreichenden Schutz für europäische Daten boten, und die Nichtregierungsorganisation noyb hat bereits einen Rechtsstreit gegen das DPF vor dem Gerichtshof angekündigt.
Dies bedeutet nicht unbedingt, dass die DPF ebenfalls für ungültig erklärt wird, aber es ist eine reale Möglichkeit. Es ist schwer zu sagen, wie es ausgehen wird: Die DPF ist in gewisser Hinsicht ein Fortschritt gegenüber der Vergangenheit, aber unter bestimmten Aspekten immer noch problematisch.
Wie funktioniert der Transatlantische Datenschutzrahmen?
Datenübertragungen in Kurzform
Um zu verstehen, wie sich die Rahmenvereinbarung auf Datenübermittlungen auswirkt, müssen wir zunächst einen Schritt zurückgehen und uns ansehen, wie Datenübermittlungen nach der Datenschutz-Grundverordnung funktionieren.
Die Datenschutz-Grundverordnung erlaubt nur die sichere und vertrauliche Übermittlung personenbezogener Daten außerhalb der EU (genauer gesagt außerhalb des EWR, da die Datenschutz-Grundverordnung auch in Island, Norwegen und Liechtenstein gilt).
Das ist sinnvoll: Ohne dieses Grundprinzip wären alle Datenschutzbestimmungen der Datenschutz-Grundverordnung in dem Moment gefährdet, in dem personenbezogene Daten die EU verlassen (was ständig geschieht). Die Datenschutz-Grundverordnung verbietet also nicht die Übermittlung personenbezogener Daten in Länder außerhalb der EU, sondern verlangt, dass sie sicher ist.
Zur Umsetzung dieses Grundsatzes schreibt die Datenschutz-Grundverordnung bestimmte Sicherheitsvorkehrungen für Datenübermittlungen vor. In der Praxis bedeutet dies, dass die Datenschutz-Grundverordnung eine kleine Anzahl von rechtlichen Mechanismen auflistet, die als Garantien für personenbezogene Daten dienen, und von Organisationen verlangt, dass sie einen davon auswählen und ordnungsgemäß umsetzen, bevor sie personenbezogene Daten übertragen. Eine Datenübermittlung ohne Sicherheitsvorkehrungen ist illegal (mit sehr engen Ausnahmen).
Die von uns erwähnten Angemessenheitsbeschlüsse sind eine dieser Sicherheitsvorkehrungen. Sie sind die beliebteste Schutzmaßnahme jeder Organisation, weil sie wenig oder gar keinen Papierkram erfordern. Sie sind jedoch nur für einige wenige Länder verfügbar (Sie finden sie auf der Website der Europäischen Kommission).
Wenn ein Angemessenheitsbeschluss nicht verfügbar ist, greifen die meisten Unternehmen auf die von der Europäischen Kommission ausgearbeiteten Standardvertragsklauseln (SCC) zurück. SCCs sind Klauseln, die den Parteien vorschreiben, was sie mit personenbezogenen Daten tun dürfen und was nicht. Auf diese Weise gleicht die Verbindlichkeit eines Vertrags die fehlenden Datenschutzbestimmungen im Land des Empfängers aus.
SCCs sind ein cleveres Instrument, haben aber einen großen Fehler: Sie schützen die Daten kaum oder gar nicht vor staatlicher Überwachung. Das liegt an ihrem vertraglichen Charakter: Sie binden die Organisationen, die sie unterzeichnen, aber nicht die Länder.
Leider ist die staatliche Überwachung genau das rechtliche Problem, das dem Datentransfer zwischen der EU und den USA im Wege steht. Aufgrund der umfangreichen und unverhältnismäßigen Operationen der US-Geheimdienste hat der Gerichtshof in den Entscheidungen Schrems I und II bereits zwei Datenübermittlungsrahmen für ungültig erklärt.
Die Entscheidungen in der Rechtssache Schrems II wirkten sich auch auf die Verwendung von SCCs aus. Der Gerichtshof hat klargestellt, dass Unternehmen sicherstellen müssen, dass SCCs tatsächlich für das Land funktionieren, in das die Daten gehen. In der Praxis bedeutet dies, dass Unternehmen, die SCCs verwenden, um Daten in die USA zu senden, zusätzliche Sicherheitsvorkehrungen treffen müssen, um personenbezogene Daten vor der National Security Agency zu schützen.
Dies ist nicht die einfachste Aufgabe der Welt und bei der Nutzung bestimmter in den USA ansässiger Anbieter völlig unmöglich. Nimmt man das Schrems-II-Urteil des Europäischen Gerichtshofs ernst, kann die Inanspruchnahme vieler US-Dienste völlig illegal werden - einschließlich wichtiger Anbieter wie Azure, Oracle und AWS. Die DPF und ihre Zukunft sind also von großer Bedeutung für die europäische digitale Wirtschaft.
Wie werden Daten nach dem Transatlantischen Datenschutzrahmen in die USA übertragen?
Die DPF wird den Datentransfer in zweierlei Hinsicht vereinfachen. Erstens können sich europäische Unternehmen auf den Angemessenheitsbeschluss für die USA berufen, wenn sie Daten an einige in den USA ansässige Unternehmen senden - aber nicht an alle.
Das DPF erlaubt es EU-Unternehmen nur, Daten an Organisationen zu übermitteln, die sich an die Grundsätze des Privacy Shield halten und diese Einhaltung gegenüber dem US-Handelsministerium selbst bescheinigen. In der Praxis bedeutet dies, dass Sie sich nicht auf die Angemessenheitsentscheidung berufen können, um Daten an eine Organisation zu übermitteln, die sich nicht an die Grundsätze des Privacy Shield hält. In diesem Fall müssen Sie eine andere Sicherheitsvorkehrung verwenden - in der Regel SCCs.
Zweitens wird die Datenübermittlung an alle anderen Organisationen dadurch erleichtert, dass die Exekutivanordnung den Ermessensspielraum der Geheimdienste beim Ausspähen europäischer Daten (etwas) einschränkt. Die Exekutivanordnung erlaubt also Datenübermittlungen auf der Grundlage von SCCs mit wenig oder gar keinen zusätzlichen Sicherheitsvorkehrungen.
Natürlich setzt dies voraus, dass die DPF Schrems III überlebt, was alles andere als sicher ist!
Es ist auch erwähnenswert, dass Sie nicht einfach so personenbezogene Daten an US-Unternehmen übermitteln können, nur weil Sie einen Angemessenheitsbeschluss haben! Es gelten nach wie vor die allgemeinen Regeln der Datenschutz-Grundverordnung: Wenn Sie keinen legitimen Grund für die Weitergabe personenbezogener Daten an eine andere Organisation haben, dürfen Sie dies nicht tun - selbst wenn die Daten innerhalb der EU bleiben. Bei all dem Gerede über Datenübertragungen vergisst man leicht, dass die Datenübertragungsregeln nur ein Teil des Puzzles zur Einhaltung der Vorschriften sind.
Was ist die Geschichte hinter der DPF?
Schrems I und II
Die DPF ist nicht der erste Datenschutzrahmen zwischen der EU und den USA. In der Vergangenheit wurden bereits zwei solcher Rahmen geschaffen, die nicht gut liefen.
Im Jahr 2000 hatten die EU und die USA einen Datenübertragungsrahmen namens Safe Harbor. Im Jahr 2013, nach den Snowden-Enthüllungen über die umfassende Überwachung ausländischer Daten durch die USA, reichte der österreichische Bürger Maximilian Schrems (dieser Name wird noch oft fallen) eine Klage gegen Facebook Irland (jetzt Meta) ein. Er behauptete, dass die Übermittlung personenbezogener Daten durch das Unternehmen an seine in den USA ansässige Muttergesellschaft ein erhebliches Risiko der staatlichen Überwachung durch US-Behörden darstelle und daher illegal sei.
Damit begann ein jahrzehntelanger Rechtsstreit, an dem die irische Datenschutzbehörde (DPC), das irische Verwaltungsgerichtssystem und der Europäische Gerichtshof (EuGH) beteiligt waren. Der EuGH hatte mit den Entscheidungen Schrems I und II zweimal ein Wörtchen in der Sache mitzureden.
Beide Urteile sind richtungsweisend für das EU-Datenschutzrecht, und beide haben einen Rahmen für die Datenübermittlung für ungültig erklärt - zunächst das Safety Harbor und dann dessen Nachfolger, das Privacy Shield (ja, es heißt wie die Grundsätze des Privacy Shield, was verwirrend ist). Mit anderen Worten, die DSGVO ist ein dritter Versuch.
Schrems I und II sind lange und komplizierte Entscheidungen, die viele Themen berühren, aber zwei wesentliche Erkenntnisse enthalten.
- Angemessenheitsentscheidungen sind keine rein politischen Entscheidungen. Nach der Datenschutz-Grundverordnung kann die Kommission eine Angemessenheitsentscheidung nur für Länder erlassen, die ein "angemessenes Schutzniveau" für personenbezogene Daten gewährleisten. Mit anderen Worten: Die Kommission kann nicht einfach einen Angemessenheitsbeschluss fassen, weil ihr ein Land gefällt, sondern muss objektive Faktoren berücksichtigen. Wenn diese Faktoren nicht korrekt bewertet werden, ist die Angemessenheitsentscheidung falsch und kann vom Gerichtshof für ungültig erklärt werden. Genau das ist in den Urteilen Schrems I und II geschehen.
- Die zweite wichtige Erkenntnis ist, dass die Übermittlung personenbezogener Daten manchmal zusätzliche Garantien zu den in der Datenschutz-Grundverordnung vorgeschriebenen erfordern kann. Die Argumentation ist einfach: Da Standardvertragsklauseln den Empfängerstaat nicht binden, tragen sie nicht dazu bei, europäische Daten vor Überwachung zu schützen - was der Kern des Problems in beiden Schrems-II-Urteilen ist. Um die Daten sicher zu übermitteln, müssen EU-Organisationen daher andere Wege finden, um personenbezogene Daten vertraulich zu behandeln.
Das Problem liegt auf der Hand: Geheimdienste sind gut darin, vertrauliche Informationen zu sammeln, ganz gleich, wie gut sie geschützt sind. Das ist schließlich ihre Aufgabe. Wie wir bereits erläutert haben, ist es für ein europäisches Unternehmen sehr schwierig - und manchmal sogar unmöglich -, die SCC durch zusätzliche Schutzmaßnahmen zu ergänzen, die tatsächlich funktionieren.
Datenübermittlung nach Schrems II
Der Fall Schrems II wurde im Jahr 2020 entschieden, und das Urteil brachte viele europäische Unternehmen in eine schwierige Lage, da sie in hohem Maße von in den USA ansässigen Dienstleistern abhängig waren (und immer noch sind). Infolgedessen haben viele Unternehmen das Urteil im Wesentlichen ignoriert und ihre Geschäfte wie gewohnt weitergeführt.
Eine Datenschutz-NGO namens noyb (bei der Schrems selbst Mitglied ist) war mit der Situation nicht zufrieden und begann, die Behörden zu einer strikten Durchsetzung des Schrems-II-Urteils zu drängen, indem sie eine Reihe von Beschwerden gegen die Datenübertragungen für Google Analytics und Facebook Connect einreichte. Dies führte dazu, dass die Datenschutzbehörden eine härtere Haltung gegenüber Datenübermittlungen einnahmen und Google Analytics praktisch aus einigen Mitgliedstaaten verbannten, darunter auch aus den wichtigen nationalen Märkten Frankreich und Italien.
(Um es klar zu sagen: Die Datenschutzbehörden entschieden in dieser Angelegenheit von Fall zu Fall, aber es war ziemlich klar, dass künftige Fälle auf dieselbe Weise entschieden werden würden - weshalb die Entscheidung praktisch auf ein staatenweites Verbot hinauslief und zu einer weit verbreiteten Panik unter den Vermarktern führte).
Natürlich stand viel mehr auf dem Spiel als Google Analytics selbst, weshalb die EU-Kommission und die US-Regierung einen neuen Rahmen für die Datenübermittlung aushandelten. Die Umsetzung dieses Rahmens begann im Oktober 2022, als Präsident Joe Biden die Durchführungsverordnung 14086 erließ, und endete im Juli 2023, als die Kommission ihre Angemessenheitsentscheidung für die USA verabschiedete.
Warum hat die Umsetzung des neuen Rahmens so lange gedauert?
Wenn der Datenverkehr zwischen der EU und den USA für beide Seiten von so großer Bedeutung ist, warum haben sie dann drei Jahre gebraucht, um den neuen Rahmen umzusetzen?
Nun, die Schaffung dieses Rahmens war nicht einfach. Die DPF ist das Ergebnis komplexer juristischer Arbeit, insbesondere auf amerikanischer Seite.
Die Kommission wollte unbedingt einen Rahmen für die Datenübermittlung, brauchte aber auch einen, der einem Schrems-III-Urteil standhalten konnte (und es bleibt abzuwarten, ob dies der Fall sein wird). Gleichzeitig musste die US-Regierung ein System finden, das nicht nur den EU-Gerichtshof zufrieden stellt, sondern auch mit den Zwängen des US-Verfassungsrechts und der Rechtsprechung des Obersten Gerichtshofs der USA vereinbar ist. Mit anderen Worten: Die DPF ist ein Versuch, zwei Gerichte gleichzeitig zufrieden zu stellen.
Wenn Sie Zeit haben, können Sie in diesem ausgezeichneten Artikel tief in das US-Recht eintauchen und einige der juristischen Grundlagen des durch die Exekutivanordnung eingeführten Rechtsbehelfsmechanismus erläutern. Unabhängig davon, ob die DPF Schrems III überlebt oder nicht, ist der Einfallsreichtum hinter den Systemen beeindruckend.
Abschließende Überlegungen
Insgesamt ist die DPF ein kontroverses Thema, und die Menschen neigen dazu, in verschiedene Lager zu fallen. Die einen sehen in der DPF die endgültige Lösung für das Problem der Datenübermittlung und sind zuversichtlich, dass Schrems III gut laufen wird. Andere, darunter Max Schrems und noyb, halten die DPF für eine Kopie des Privacy Shield und sind sich sicher, dass der Europäische Gerichtshof sie kippen wird.
Wir glauben, dass die Wahrheit irgendwo in der Mitte liegt. Die DPF ist definitiv ein Fortschritt gegenüber dem Privacy Shield, aber andererseits war das Privacy Shield auch schrecklich. Neben den Verbesserungen gibt es immer noch potenzielle Probleme mit dem neuen Rahmen.
Schrems III könnte sich in beide Richtungen entwickeln. Einerseits ist die überwältigend negative Stellungnahme des Europäischen Parlaments zur DPF kein vielversprechender Start und könnte den Gerichtshof zu einer harten Haltung veranlassen. Andererseits könnten die derzeitigen internationalen Spannungen aufgrund des Krieges in der Ukraine den Gerichtshof in die entgegengesetzte Richtung drängen und ein gewisses Maß an Pragmatismus im Umgang mit einem strategischen Verbündeten der EU nahelegen.
Wir wissen, dass wir im Falle eines Scheiterns der DPF wieder am Anfang stehen werden. Tatsächlich könnten Datenübermittlungen nach Schrems III zu einem noch größeren Problem werden, da die Durchsetzung von Schrems II seit 2020 an Fahrt aufgenommen hat (siehe die jüngste Geldstrafe von 1,2 Milliarden Euro gegen Meta!). Andererseits wird der Gerichtshof die DPF wahrscheinlich nicht abschießen, ohne der US-Regierung und der Kommission einige Hinweise darauf zu geben, was sie als Nächstes im vierten Rahmenwerk sehen wollen.
Unterm Strich können wir nur abwarten und sehen. In der Zwischenzeit sollten die Unternehmen einen Plan B zur Hand haben - oder zumindest eine grobe Skizze eines Plans - für den Fall, dass Schrems III nicht gut ausgeht.
Die schlechte Nachricht ist, dass dies für einige Dienstleistungsanbieter wirklich schwierig ist. Die gute Nachricht ist, dass es für Webanalysedienste sehr einfach ist. Es ist nicht nötig, auf Schrems III zu warten - viele Unternehmen können davon profitieren, wenn sie Google Analytics loswerden!
Google Analytics ist das Standard-Analysetool im Internet, aber es ist nicht unersetzlich. Es gibt viele Alternativen, auch datenschutzfreundliche und EU-basierte. Und wir haben genau die richtige für Sie.
Wir von Simple Analytics sind der Meinung, dass Sie Ihre Besucher nicht aggressiv verfolgen müssen, um die benötigten Informationen zu erhalten! Aus diesem Grund haben wir den Datenschutz zum Eckpfeiler von Simple Analytics gemacht.
Unser Service sammelt keine persönlichen Daten, nimmt keine Fingerabdrücke von Besuchern und verfolgt sie in keiner Weise - und das alles bei ausgezeichneten Einblicken und einer sehr einfachen Nutzung im Vergleich zur Konkurrenz. Wenn sich das für Sie gut anhört, dann probieren Sie uns doch einfach mal aus!