EDSA: Bericht zum EU-US-Datenschutzrahmen

12. November 2024

Der Europäische Datenschutzausschuss (EDSA) hat am 04.11.2024 einen ersten Bericht zum EU-US-Datenschutzrahmens (Data Privacy Framework, DPF) vorgelegt. Dieser Datenschutzrahmen soll den Schutz personenbezogener Daten in transatlantischen Datenübermittlungen sicherstellen. Im Mittelpunkt des Berichts steht eine Überprüfung der Umsetzung der Anforderungen durch US-Unternehmen, die Daten von EU-Bürgern verarbeiten, und die Einhaltung der Schutzvorgaben durch US-Behörden.

EU-US-Datenschutzrahmen im Überblick

Der DPF ist im Juli 2023 in Kraft getreten und soll als Angemessenheitsbeschluss personenbezogene Daten, die von der EU an die USA übertragen werden, rechtlich absichern. Damit erklärt der Beschluss die USA wieder als sicheres Drittland. Er soll nun endgültig Ersatz für die vorherigen Regelungen (Safe-Harbour) und (Privacy-Shield) schaffen, die der Europäischen Gerichtshof (EuGH) 2015 bzw. 2020 für ungültig erklärt hatte. Unternehmen, die dem Datenschutzrahmen beitreten, verpflichten sich nach dem DPF nun zur Einhaltung wesentlicher Datenschutzprinzipien. Zusätzlich wurde eine neue Rechtsbehelfsstelle geschaffen, über die betroffene EU-Bürger Beschwerden gegen eine mögliche missbräuchliche Datenverarbeitung in den USA einreichen können. Allerdings hat der DPF, ähnlich wie Privacy Shield, eine eingeschränkte Reichweite. Die privilegierende Wirkung gilt lediglich für Datenempfänger, die sich einem Selbstzertifizierungsmechanismus unterwerfen und sich verpflichten, bestimmte detaillierte Datenschutzvorgaben einzuhalten.

Bericht des EDSA

Auf seiner letzten Plenarsitzung hat nun der EDSA einen Bericht (abrufbar hier) zur Überprüfung des DPF angenommen. Mit dem 22-seitigem Report folgt der EDSA damit seiner Pflicht zur regelmäßigen Kontrolle des Datenschutzrahmens, die erstmalig ein Jahr nach Erlass des Angemessenheitsbeschlusses erfolgen muss. Hierfür kamen Mitte Juli 2024 fünf Vertreter des EDSA in Washington D.C. zusammen und analysierten sowohl privatrechtliche Aspekte des DPF als auch die Einhaltung der Vorgaben durch US-Behörden. Hierzu erklärt der stellvertretende Vorsitzende des EDSA, Zdravko Vukić, dass man sich zwar über die bereits erzielten Fortschritte freut, es aber trotzdem „noch Raum für Verbesserungen“ gibt und man weiter kooperieren sollte, „um ein hohes Datenschutzniveau aufrechtzuerhalten und die Rechte und Freiheiten von EU-Bürgern zu schützen“. Der EDSA empfiehlt, dass die nächste umfassende Überprüfung des Datenschutzrahmens spätestens in drei Jahren stattfinden sollte.

Kommerzielle Umsetzung in den USA

In Bezug auf die Beachtung der Vorgaben durch Unternehmen, die zertifiziert sind, stellt der EDSA klar, „dass das US-Handelsministerium alle relevanten Schritte zur Umsetzung des Zertifizierungsverfahrens unternommen hat“. In diesem Zusammenhang habe das Ministerium eine neue Website entwickelt, die jeweiligen Verfahren aktualisiert und in hinreichendem Maß mit Unternehmen kooperiert und Sensibilisierungsmaßnahmen durchgeführt.

Rechtsbehelfsverfahren für EU-Bürger

Zwar wurde sowohl in der EU als auch in der USA Leitlinien für die Handhabung von Beschwerden bereitgestellt, doch sieht der EDSA weiterhin Potenzial zur Optimierung. Der EDSA betont, dass die bisher geringe Anzahl eingereichter Beschwerden zeigt, dass die Überwachung der Einhaltung des Rahmens verstärkt werden sollte. Der Ausschuss empfiehlt in seiner Pressemitteilung deshalb, dass die US-Behörden weitere Leitlinien herausgeben, die insbesondere die Vorgaben an DPF-zertifizierte Unternehmen hinsichtlich des Umgangs mit personenbezogenen Daten und insbesondere auch Personaldaten betreffen.

Datenzugriff durch US-Behörden

Ein wesentlicher Punkt in der EDSA-Erklärung betrifft den Zugang von US-Behörden zu personenbezogenen Daten von EU-Bürgern. Der Datenschutzrahmen legt hier strikte Grundsätze fest, wie die „Notwendigkeit“ und „Verhältnismäßigkeit“, die den Zugang zu diesen Daten durch US-Behörden auf ein Minimum begrenzen sollen. Der EDSA fordert trotz der bestehenden Rechtsbehelfsmechanismen die EU-Kommission auf, die Umsetzung dieser Grundsätze kontinuierlich zu überwachen, um sicherzustellen, dass keine unverhältnismäßigen Datenzugriffe erfolgen. Dabei sei insbesondere die Executive Order 14086 einzuhalten. Vor allem die Bestimmungen von Section 702 des amerikanischen Foreign Intelligence Surveillance Act, die Anfang dieses Jahres durch den US-Kongress erweitert wurden, könnten zu einem erhöhten Datenzugriff für Geheimdienste führen.

Fazit

Der EDSA-Bericht zum EU-US-Datenschutzrahmen zeigt, dass der Datenschutz im transatlantischen Bereich noch Verbesserungsbedarf hat. Der DPF bietet eine Grundlage für sichere Datenübermittlungen, doch die effektive Überwachung und der Schutz der Rechte von EU-Bürgern bleiben eine zentrale Herausforderung. Insbesondere bleibt auch noch spannend, ob der Datenschutzrahmen einer Überprüfung durch den EuGH standhalten kann.