Am 11. Juli 2023 wurde das neue Abkommen über die Übermittlung personenbezogener Daten zwischen der EU und den USA beschlossen, das EU-US Data Privacy Framework oder kurz das „DPF“. Dieses Abkommen soll die Übermittlung personenbezogener Daten aus der EU in die USA vereinfachen, indem es den teilnehmenden US-Unternehmen durch die „neue“ Zertifizierung bescheinigt, dass sie die EU-Datenschutzbestimmungen einhalten.
Zeitlich fällt dieser neue Angemessenheitsbeschluss, als Ersatz für den vorhergehenden Privacy Shield, fast auf den Tag drei Jahre nachdem es im Juli 2020 vom Europäischen Gerichtshof (EuGH) in der so genannten Schrems-II-Entscheidung für ungültig erklärt wurde. Von 2016 bis 2020 war das Privacy Shield die Garantie und Verpflichtung dafür, dass zertifizierte US-Unternehmen die EU-Datenschutzanforderungen einhalten. Letztendlich erfolgte die Aussetzung, weil Unternehmen weiterhin gesetzlich verpflichtet waren, auf Anfrage Daten mit US-Behörden zu kooperieren – insbesondere mit den Nachrichtendiensten. Dies umfasste auch die Daten europäischer Kunden und Bürgern.
In den letzten drei Jahren erfolgte dann durch alle Beteiligten der aufwendige Wechsel auf sogenannte Standardvertragsklauseln, welche nun die Übermittlungen abzusichern hatten. Eine Aktualisierung der Klauseln in 2021 machte es auch nicht leichter, da wieder bestehende Verträge angepasst werden mussten.
Nun ist das DPF, bereits wenige Monate nach Veröffentlichung des ersten Entwurfs, sozusagen beschlossene Sache. Die Europäische Union hat damit einen Angemessenheitsbeschluss nicht für die USA selber, aber für in den USA ansässige und zertifizierte Unternehmen ausgesprochen. Diese ist jährlich zu erneuern. Wie in der Datenschutz-Community hinreichend berichtet, sind manche Regelungen immer noch vage. So kann eine Excecutive Order durch einen zukünftigen Präsidenten für ungültig erklärt werden und beim Begriff Verhältnismäßkeit und Erforderlichkeit gehen die Meinungen beidseitig des Atlantiks wieder einmal auseinander. So wurde zwar das Wort Verhältnismäßigkeit aufgenommen, jedoch bestehen beidseitig unterschiedliche Auffassungen in der Bedeutung und Auslegung des Wortes „Verhältnismäßigkeit“.
Zeit sich einmal das Zertifizierungsverfahren, welches jetzt veröffentlicht wurde, einmal genauer anzuschauen. Bei genauer Prüfung der Veröffentlichung des Handelsministeriums ist klar, dass wie bereits zuvor eine reine Selbstzertifzierung der Unternehmen erfolgen muss. Versetzt man sich in ein Unternehmen, welches sich zertifizieren möchte, so reicht eine öffentlich gemachte Datenschutzrichtlinie, ein Beschwerdemechanismus bei einer unabhängigen dritten Stelle und das Commitment zur Sicherheit in der Verarbeitung, Haftung, Rechenschaftspflicht, Datenintegrität und Zweckbindung sowie die Einhaltung der Rechte der Betroffenen, z. B. das Recht auf Auskunft und Löschung. Bei dem Verständnis zu Opt-In und Opt-Out trennt sich schon das beiderseitige Verständnis. Während in Europa ein Opt-In, also die klare Zustimmung gilt, muss in den Staaten das Opt-Out angeboten werden, also der klare Widerspruch. Privacy by Default geht eigentlich anders.
Die Hürde zur Erlangung der DPF-Zertifizierung ist daher als extrem niedrig anzusehen. Bei Erstellung des Artikels waren bereits mehr als 2600 Unternehmen auf der Liste zertifizierter Unternehmen, einschließlich mehrere große Technologie Unternehmen, die noch in der Europäischen Union häufig wegen verschiedener Verstöße mit Geldbußen belegt werden. Die Hürde ist hier eher eine Teppichkante.
Vor dem Abschluss des Rahmenwerks haben sowohl der Europäische Datenschutzausschuss (EDSA), der alle Datenschutzbehörden in der EU vertritt, als auch das EU-Parlament den Entwurf bewertet. Beide begrüßten die grundlegende Absicht, übten jedoch erhebliche Kritik an dem Entwurf, der schließlich zur endgültigen Form des Abkommens werden sollte. Ein Teil der Kritik bezog sich auf die mangelnde Rechtssicherheit, Stichwort Executive Order und Verhältnismäßigkeit. Darüber hinaus wurden auch die unzureichende Klarheit und Sicherheit in Bezug auf die Grundsätze für die Nachrichtendienste sowie der Mangel an Informationen darüber, wie diese Grundsätze bis zur Frist im Oktober 2023 umgesetzt werden sollen kritisiert. Schließlich wurde auch der Beschwerdemechanismus wegen seiner mangelnden Transparenz kritisiert. Alle Kritikpunkte wurden bereits durch NOYB, der Verein hinter Max Schrems, bestätigt und bereitet bereits eine neue Klageschrift am EUGH vor.
In Anbetracht der erwähnten Schwächen und der sehr niedrigen Schwelle der Selbstzertifizierung wird das DPF aller Wahrscheinlichkeit nach innerhalb der nächsten Jahre ebenfalls außer Kraft gesetzt werden und erneut zu Schwierigkeiten und Unsicherheiten bei Datenübermittlungen in die USA führen.
Langfristige Rechtssicherheit für europäische Unternehmen und unsere Kunden sieht anders aus. Es bleibt spannend im Datenschutz.