Das EU-US Data Privacy Framework (DPF) im Lichte der Trump-Administration

Der Arbeitskreis IT-Recht im Berliner Anwaltsverein durfte hierzu im April einem brandaktuellen Vortrag von Philipp Quiel, LL.M., Wirtschaftsjurist bei Piltz Legal, lauschen.

EIN RÜCKBLICK: VON SAFE HARBOR ZU PRIVACY SHIELD BIS DPF

Wenn personenbezogene Daten in einen Drittstaat außerhalb der Europäischen Union verarbeitet werden sollen, steht ein Prinzip ganz oben: Das Datenschutzniveau muss der Sache nach gleichwertig sein.

Bereits im Jahr 2000 trat das Safe-Harbor-Abkommen in Kraft, das den transatlantischen Datenaustausch erleichtern sollte. Doch im Oktober 2015 erklärte der Europäische Gerichtshof (EuGH) dieses Abkommen im sogenannten Schrems-I-Urteil für ungültig, da es keinen ausreichenden Schutz vor US-Überwachungsmaßnahmen bot.

Im Juli 2016 folgte das Privacy Shield, das jedoch im Juli 2020 im Schrems-II-Urteil erneut vom EuGH gekippt wurde. Die Richter bemängelten insbesondere die unzureichenden Rechtsbehelfe für EU-Bürger:innen und die weitreichenden Zugriffsmöglichkeiten US-amerikanischer Behörden auf personenbezogene Daten. So lautet es in Randnummer 187: „Nach ständiger Rechtsprechung ist es dem Wesen eines Rechtsstaats inhärent, dass eine wirksame, zur Gewährleistung der Einhaltung des Unionsrechts dienende gerichtliche Kontrolle vorhanden sein muss. Daher verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz (EuGH-Urteil v. 6.10.2015, Schrems, C362/14, EU:C:2015:650, Rn. 95 und die dort angeführte Rechtsprechung).“

Als Reaktion auf die Kritikpunkte der vorherigen Abkommen wurde das DPF eingeführt. Es basiert auf einer Executive Order (E.O.14086) des damaligen US-Präsidenten Joe Biden und soll durch neue Mechanismen den Datenschutz stärken.

Zentrale Elemente sind: Der Cicil Liberties Protection Officer, der Beschwerden untersucht und dessen Entscheidungen wiederum vom Data Protection Review Court (DPRC) überprüft werden können. Das Privacy and Civil Liberties Oversight Board (PCLOB) überwacht die Einhaltung der Datenschutzbestimmungen sowie die oben genannten Entscheidungen und soll sicherstellen, dass US-Behörden den Zugriff auf EU-Daten nur unter strengen Voraussetzungen erhalten.

Diese Entscheidungen müssen dann „umgesetzt oder anderweitig berücksichtigt werden“. Über die Verbindlichkeit einer solchen Entscheidung mag man streiten. Aber dieses Prozedere stellte in den letzten Jahren die Möglichkeit her, dass personenbezogene Daten – zumindest juristisch gesehen – sicher in den USA verarbeitet werden konnten.

NEUE RISIKEN: EINFLUSS DER TRUMP-ADMINISTRATION AUF US-DATENSCHUTZGREMIEN

Nun ist sicherlich niemandem entgangen, dass die neue US-Administration ein schwieriges Verhältnis zur Rechtsstaatlichkeit und Gewaltenteilung insgesamt und zu Entscheidungen der Vorgängerregierung insbesondere hat, was wiederum zu Konflikten mit Art. 45 Abs. 2 lit. a DSGVO führen kann.

„Die eingeschränkte Arbeitsfähigkeit aufgrund des Personalmangels beeinträchtigt mithin die vertrauensvolle Umsetzung der im DPF vorgesehenen Schutzmechanismen und sorgt für besorgte Gesichter bei den Europäischen Datenschutzaufsichten und damit befassten Gremien“

Die Wirksamkeit des DPF wird durch aktuelle Entwicklungen in den Vereinigten Staaten infrage gestellt. So wurde ein Großteil der Mitglieder des PCLOB unter der Trump-Administration entlassen, die jedoch aktuell gerichtlich dagegen vorgehen. Die eingeschränkte Arbeitsfähigkeit aufgrund des Personalmangels beeinträchtigt mithin die vertrauensvolle Umsetzung der im DPF vorgesehenen Schutzmechanismen und sorgt für besorgte Gesichter bei den Europäischen Datenschutzaufsichten und damit befassten Gremien.

WAS UNTERNEHMEN JETZT TUN SOLLTEN: RECHTLICHE UND TECHNISCHE HANDLUNGSEMPFEHLUNGEN

Die Europäische Kommission ist verpflichtet, die Entwicklungen im Drittland kontinuierlich zu überwachen. Sollte das Datenschutzniveau nicht mehr als gleichwertig gelten, kann die Kommission den Angemessenheitsbeschluss widerrufen, ändern oder aussetzen. Die politischen Konsequenzen einer solchen Entscheidung kann mithin wenig vorhergesehen werden.

Denkbar wäre auch ein erneutes Scheitern vor dem EuGH – gewissermaßen ein „Schrems III“ – die Fälle Latombe und Bindl sind bereits anhängig. Für Unternehmen hätte dies weitreichende Konsequenzen. Es empfiehlt sich daher bereits jetzt, ergänzend Standardvertragsklauseln (SCC) oder Binding Corporate Rules (BCR) für die Verarbeitung von personenbezogenen Daten als juristisches Backup zu vereinbaren.

„Datenschutz braucht mehr als politische Willensbekundungen – er braucht belastbare Strukturen auf beiden Seiten des Atlantiks“

Darüber hinaus gewinnen technische Maßnahmen weiter an Bedeutung. IT-Sicherheitsexpert:innen raten schon lange dazu, die Speicherung von sensiblen und personenbezogenen Daten auf Servern innerhalb der EU zu forcieren, und zwar von europäischen Anbietern. Sollte dies nicht möglich sein, ist eine weitere Möglichkeit der technischen Vorsorge die Nutzung von eigenen Verschlüsselungsschlüsseln. Hierbei ist zu beachten, dass die Keys immer beim Verantwortlichen liegen müssen, um eine lückenlose Verschlüsselung zu gewährleisten. Bei Software-as-a-Service ist dies schon technisch schwierig und nur über die sogenannte „Double Key Encryption“ sicherzustellen.

Das DPF stellt einen weiteren Versuch dar, den transatlantischen Datentransfer endlich rechtssicher zu gestalten und so insbesondere für die Unternehmen die dringend benötigte Handlungssicherheit zu erreichen. Doch die bisherigen Erfahrungen mit Safe Harbor und Privacy Shield zeigen, dass politische Zusagen allein nicht ausreichen. Es bedarf einer konsequenten Umsetzung und Kontrolle der Datenschutzstandards, auf beiden Seiten des Atlantiks.