Die Übermittlung personenbezogener Daten spielt in der heutigen globalisierten Welt eine wesentliche Rolle.
Der internationale Datentransfer ist an der Tagesordnung und moderne Technik macht diesen Transfer immer anspruchsvoller. Der europäische Gesetzgeber war und ist sich dessen auch bewusst und versucht seit mehreren Jahrzehnten, die Daten von EU-Bürgern zu schützen, indem er deren Übermittlung in Drittstaaten reguliert.

Bereits am 6. Juli 2000 verabschiedete die Europäische Kommission einen Beschluss, in dem festgestellt wurde, dass die „Safe Harbor“-Grundsätze ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der Gemeinschaft an in den USA ansässige Organisationen übermittelt werden. In der Praxis erlaubten die Safe-Harbor-Prinzipien die einfache Übermittlung personenbezogener Daten aus EU-Ländern in die USA, und zwar an Unternehmen, die sich zur Einhaltung der Safe-Harbor-Prinzipien verpflichtet hatten. Für einen EU-Bürger, der einen Dienst nutzt, der auf dem Austausch personenbezogener Daten zwischen den USA und der EU basiert, wurde der sichere Umgang mit seinen personenbezogenen Daten gewährleistet. Am 6. Oktober 2015 erklärte der Gerichtshof der Europäischen Union in der Entscheidung C‑362/14, Maximilian Schrems gegen Data Protection Commissioner, die Entscheidung der Kommission vom 26. Juli 2000 für ungültig (sog. Schrems I).

Die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (nachfolgend nur „GDPR“ genannt), konkret deren Artikel 45 sieht vor, dass die Übermittlung personenbezogener Daten in ein bestimmtes Drittland oder eine bestimmte internationale Organisation erfolgen kann, wenn die Europäische Kommission entschieden hat, dass dieses Drittland ein angemessenes Schutzniveau bietet, was bedeutet, dass das Schutzniveau im Drittland im Wesentlichen dem europäischen gleichwertig sein muss.

Nach Abschaffung von Safe-Harbor-Prinzipien und einer kurzen Zeit der Untätigkeit erfolgte die Datenübermittlung zwischen der Europäischen Union und den Vereinigten Staaten gemäß Artikel 45 GDPR insbesondere auf der Grundlage der Entscheidung der Europäischen Kommission 2016/1250 vom 12. Juli 2016, die den Rechtsrahmen zwischen der EU und den USA, sog. Privacy Shield-Rahmen widerspiegelte. In der Praxis wurden US-Unternehmen auf einer vom US-Handelsministerium erstellten Liste registriert, und dank dieser wurde davon ausgegangen, dass die Übermittlung personenbezogener Daten aus der EU dem erforderlichen Schutzniveau gemäß GDPR entsprach. Privacy Shield  wurde jedoch  auf der Grundlage der Entscheidung des Gerichtshofs der Europäischen Union
(im Folgenden „EuGH“) betr. C-311/18 Data Protection Commissioner v. Facebook Ireland Limited und Maximilian Schrems (sog. Schrems II) aufgehoben.

Seit der Aufhebung von Privacy Shield war unklar, ob und unter welchen Bedingungen weiterhin personenbezogene Daten aus der EU in die USA übermittelt werden können. Der Datentransfer war weiterhin erforderlich, daher mussten neue Mittel gefunden werden, um ihn zu ermöglichen. Zu diesen Mitteln gehören die sog. geeigneten Garantien laut Artikel 46 GDPR und sog. Ausnahme lt. Artikel 49 GDPR, der eine erschöpfende Liste davon enthält. Geeignete Garantien laut Artikel 46 GDPR umfassen in der Praxis verschiedene Instrumente zur Übermittlung personenbezogener Daten, insbesondere die sog. Standardvertragsklauseln zum Schutz personenbezogener Daten, die von der Europäischen Kommission verabschiedet wurden. Dabei handelt es sich um einen Mustertext des Vertrags (derzeit in der Version 2021 verwendet) zwischen einem Exporteur personenbezogener Daten (Verantwortlicher oder Verarbeiter), der beabsichtigt, personenbezogene Daten in ein Drittland zu übermitteln,
das nicht über ein angemessenes Schutzniveau verfügt, und einem Importeur personenbezogener Daten in diesem Drittland (Verantwortlicher oder Verarbeiter).

Aufgrund der Kompliziertheit der Übermittlung personenbezogener Daten nach der Aufhebung von Privacy Shield,  erließ die Europäische Kommission am 10. Juli 2023  einen Angemessenheitsbeschluss bezüglich der Übermittlung von Daten zwischen der EU und den USA im Rahmen des EU-USA Data Privacy Frameworks (im Folgenden „Beschluss“ und „DPF“ genannt), womit die Europäische Kommission feststellte, dass das Datenschutzniveau
in den USA derzeit dem in der Europäischen Union entspricht. Die Übermittlung von Daten zwischen Europa und den Vereinigten Staaten im DPF-Rahmen (dies gilt jedoch nicht für alle Empfänger in den USA, wie im folgenden Absatz erläutert) sollte nun frei erfolgen, ohne dass zusätzliche rechtliche Garantien erforderlich sind, wie dies bisher bzw. seit der Aufhebung von Privacy Shield der Fall war, gemäß verwendeten Standardvertragsklauseln oder verbindlichen Unternehmensregeln.

Um dem DPF-Rahmen beitreten zu können, muss ein USA-Empfänger (Unternehmen/ Organisationen) bestätigen, dass er die DPF-Prinzipien beachtet. Das bedeutet, dass er eine DPF-konforme Datenschutzrichtlinie entwickeln, einen unabhängigen Rechtsbehelfsmechanismus identifizieren und eine Zertifikation  (self certification) über eine Website des US-Handelsministeriums vornehmen muss. Auf dieser DPF-Website finden Sie auch eine Liste zertifizierter Unternehmen, damit EU-Datenexporteure leicht überprüfen können, ob ein US-Datenimporteur die durch den DPF-Angemessenheitsbeschluss gebotenen Schutzmaßnahmen nutzt.

Nach Ansicht der Europäischen Kommission (im Folgenden auch „EK“ genannt) stellt das DPF eine wesentliche Verbesserung des Schutzes personenbezogener Daten dar und räumt die wesentlichen Einwände des EuGH aus, die in der Entscheidung „Schrems II“ erhoben wurden, was zur Absage von Privacy Shield führte. Dabei geht es insbesondere um den Zugriff der US-Regierung auf die Daten von EU-Bürgern, wobei die Europäische Kommission feststellt, dass das US-Recht mittlerweile zahlreiche Einschränkungen und Garantien für den Zugriff und die Nutzung personenbezogener Daten zum Zwecke der Strafverfolgung und der nationalen Sicherheit enthält.

Im Hinblick auf die vom EuGH geforderte Möglichkeit eines gerichtlichen Rechtsbehelfs kommt die EK zu dem Schluss, dass das in den USA neu eingerichtete Datenschutz-Überprüfungsgericht (Data Protection Review Court) ein unabhängiges Gericht ist, zu dem alle EU-Bürger Zugang haben werden. Nicht zuletzt wird der DPF-Betrieb regelmäßigen Kontrollen unterliegen, die von der Europäischen Kommission gemeinsam mit Vertretern europäischer Datenschutzbehörden (in der Tschechischen Republik das Amt für den Schutz personenbezogener Daten) und relevanten US-Behörden durchgeführt werden. Gemäß Artikel 3 der Entscheidung muss die EK die Einhaltung des DPF ständig überprüfen. Sollte die EG jedwede Andeutung dafür haben, dass ein angemessenes Schutzniveau nicht mehr gewährleistet ist, wird sie die zuständigen US-Behörden informieren und gegebenenfalls beschließen, den Angemessenheitsbeschluss auszusetzen, abzuändern oder aufzuheben oder seinen Anwendungsbereich einzuschränken. Die erste derartige Überprüfung soll im Juli 2024 erfolgen.

Trotz alledem bleibt jedoch die Frage offen, ob diese neue Vereinbarung bestehen wird und vor dem EuGH
Bestand haben wird. Immerhin hat Maximilian Schrems, der Aktivist, nach dem beide Schrems-Beschlüsse benannt waren, nach der Verabschiedung des Beschlusses erklärt, dass er dagegen Berufung einlegen werde. Ihm zufolge rechnet er damit, eine Klage Anfang nächsten Jahres 2024 einzureichen, wobei der EuGH das DPF und damit die darauf basierende Datenübermittlung im Rahmen dessen Prüfverfahrens möglicherweise einstellen kann. Das Schicksal des DPF und damit die Gewissheit eines einfacheren Datentransfers zwischen der EU und den USA bleibt daher unklar.

Autor: Veronika Odrobinová, Tomáš Přibyl