Die Europaeische Kommission hat im Juli 2023 einen Angemessenheitsbeschluss fuer die Vereinigten Staaten angenommen und damit die Umsetzung des Trans-Atlantic Data Privacy Framework (DPF) abgeschlossen. Dies ist der dritte Versuch, einen Rechtsmechanismus fuer EU-US-Datenuebertragungen zu etablieren, nachdem der Gerichtshof sowohl das Safe-Harbor- als auch das Privacy-Shield-Abkommen fuer ungueltig erklaert hatte.

Was ist das DPF?

Das Abkommen besteht aus zwei Komponenten. Auf europaeischer Seite gibt der Angemessenheitsbeschluss der Kommission quasi gruenes Licht fuer Datenuebertragungen an qualifizierte US-Organisationen. Auf amerikanischer Seite legt Executive Order 14086 Regeln fest, die die Ueberwachung von Daten aus EU-/EWR-Laendern durch Geheimdienste einschraenken, und richtet einen Rechtsbehelfsmechanismus fuer betroffene Personen ein.

Das DPF ist nicht universell. Europaeische Organisationen koennen sich nur dann auf den Angemessenheitsbeschluss berufen, wenn sie Daten an US-Unternehmen uebertragen, die sich beim Handelsministerium zur Einhaltung der Grundsaetze des Abkommens selbst zertifiziert haben. Uebertragungen an nicht zertifizierte Organisationen erfordern weiterhin Standardvertragsklauseln (SCCs) oder andere Schutzmaßnahmen.

Die Geschichte: Schrems I und II

Die Snowden-Enthüllungen von 2013 loesten einen jahrzehntelangen Rechtsstreit ueber EU-US-Datenuebertragungen aus. Der oesterreichische Datenschutzaktivist Max Schrems focht transatlantische Datenuebertragungen an und argumentierte, dass die US-Ueberwachung europaeische Daten unzumutbaren Risiken aussetze. Der Gerichtshof stimmte zweimal zu und erklaerte Safe Harbor in Schrems I und Privacy Shield in Schrems II fuer ungueltig.

Diese Urteile etablierten zwei wichtige Grundsaetze: Angemessenheitsbeschluesse muessen tatsaechliche Datenschutzstandards widerspiegeln und nicht politischer Zweckmaessigkeit dienen, und Organisationen benoetigen moeglicherweise zusaetzliche Schutzmaßnahmen ueber SCCs hinaus, wenn sie Daten in Laender mit umfangreichen Ueberwachungskapazitaeten uebertragen.

Auswirkungen von Schrems II

Nach dem Urteil von 2020 uebertrugen viele Unternehmen weiterhin Daten in die USA ohne angemessene Schutzmaßnahmen. Datenschutzorganisationen reagierten mit Beschwerden, die dazu fuehrten, dass nationale Behoerden in Frankreich, Italien, Oesterreich und anderen wichtigen Maerkten Durchsetzungsmaßnahmen gegen US-basierte Analytics- und Werbetools ergriffen.

Wird das DPF die rechtliche Anfechtung ueberstehen?

Datenschutzaktivisten haben bereits Plaene angekuendigt, den Angemessenheitsbeschluss vor dem Gerichtshof anzufechten. Das Abkommen stellt eine Verbesserung gegenueber dem Privacy Shield dar, aber es bleiben Fragen, ob die Einschraenkungen der Ueberwachung durch die Durchfuehrungsverordnung ausreichen.

Das Europaeische Parlament hat eine negative Stellungnahme zum Abkommen abgegeben, die die Haltung des Gerichts beeinflussen koennte. Geopolitische Faktoren, einschließlich der strategischen EU-US-Beziehung, koennten in die andere Richtung draengen. Wenn das DPF in einem moeglichen "Schrems III"-Urteil fuer ungueltig erklaert wird, stehen europaeische Unternehmen erneut vor grundlegender Rechtsunsicherheit bei der Nutzung US-basierter Cloud-Dienste und Datenverarbeiter.

Organisationen sollten Notfallplaene fuer ihre US-Datenuebertragungen bereithalten, einschließlich der Bewertung europaeisch gehosteter Alternativen fuer kritische Dienste.