Am vergangenen Mittwoch hatte das Gericht der Europäischen Union (EuG) in der Rechtssache T-553/23 über eine Klage aus dem Jahr 2023 gegen den Angemessenheitsbeschluss der Europäischen Kommission für Datenübermittlungen in die USA, dem sogenannten Data Privacy Framework, zu entscheiden. Nachdem in der Vergangenheit bereits die beiden vorherigen Angemessenheitsbeschlüsse durch Urteile des Europäischen Gerichtshofes (EuGH) in den Jahren 2015 und 2020 gekippt wurden, waren die Befürchtungen zum Teil groß, dass es nun erneut zu einem abrupten Ende der transatlantischen Übermittlungsgrundlage kommen könnte. Diese Befürchtungen sollten sich jedoch nicht bewahrheiten…

Zur Klage

Bereits am 6. September 2023 reichte Philippe Latombe, ein französischer Abgeordneter und Mitglied der französischen Datenschutz-Aufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL), eine Nichtigkeitsklage gegen den zu diesem Zeitpunkt erst jüngst verabschiedeten Angemessenheitsbeschluss auf Basis des Data Privacy Framework ein. Der Antrag lautete konkret „die Art. 1 und 2 des Durchführungsbeschlusses […] für nichtig zu erklären, mit dem […] festgestellt wird, dass das im Datenschutzrahmen EU‑USA gebotene Schutzniveau für personenbezogene Daten angemessen ist.“

Als Argumentation führte Latombe unter anderem an, dass „das Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht nicht gewährleistet sei.“ Weiterhin sei „die in den Vereinigten Staaten von Amerika errichtete Rechtsbehelfsbehörde, die durch einen Akt der amerikanischen Exekutive und nicht durch Gesetz geschaffen worden sei, sei kein unabhängiges Gericht und biete keine den Anforderungen des europäischen Rechts entsprechende Garantien.“ Daneben wurden weitere Verstöße, insbesondere gegen Art. 7 und 8 der Charta der Grundrechte der Europäischen Union sowie Art. 22 DS-GVO und Art. 32 in Verbindung mit Art. 45 Abs. 2 der DS-GVO vorgetragen.

Zum Urteil

Mit Beschluss vom 3. September 2025 wies das EuG die Nichtigkeitsklage nun ab. In der Pressemitteilung heißt es hierzu in Bezug auf die angezeigte fehlende Unabhängigkeit Data Protection Review Court (DPRC), einer Institution, die es europäischen Bürgern ermöglichen soll, Beschwerden in Bezug auf die Verarbeitung personenbezogener Daten durch US-amerikanische Ermittlungsbehörden überprüfen zu lassen:

„Was erstens den DPRC betrifft, stellt das Gericht u. a. fest, dass die Ernennung der Richter des DPRC und seine Arbeitsweise ausweislich der Akten mit mehreren Garantien und Bedingungen verbunden sind, die die Unabhängigkeit seiner Mitglieder gewährleisten sollen. Zum einen können die Richter des DPRC nur vom Generalstaatsanwalt aus triftigen Gründen abberufen werden, zum anderen dürfen der Generalstaatsanwalt und die Nachrichtendienste deren Arbeit nicht behindern oder unrechtmäßig beeinflussen.“

Und weiter: „Außerdem hat die Kommission nach dem Wortlaut des angefochtenen Beschlusses die Anwendung des Rechtsrahmens, der Gegenstand des Beschlusses ist, fortlaufend zu überwachen. Wenn sich der zum Zeitpunkt des Erlasses des angefochtenen Beschlusses in den Vereinigten Staaten geltende Rechtsrahmen ändert, kann die Kommission daher soweit erforderlich beschließen, den angefochtenen Beschluss auszusetzen, zu ändern oder aufzuheben oder seinen Anwendungsbereich einzuschränken.“

Auch in Bezug auf mögliche Sammelerhebungen personenbezogener Daten durch US-amerikanische Nachrichtendienste folgte das Gericht der Argumentation des Klägers nicht.

Ist das Data Privacy Framework damit sicher?

Nein. Bereits aus der dargestellten Pressemitteilung geht besonders aus zwei Passagen deutlich hervor, dass in Bezug auf den derzeitigen Angemessenheitsbeschluss zu jeder Zeit auch anderslautende Beschlüsse getroffen werden könnten.

Einerseits heißt es, „dass die Vereinigten Staaten von Amerika zum Zeitpunkt des Erlasses des angefochtenen Beschlusses ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten […].“ Andererseits wird wie zuvor bereits zitiert darauf hingewiesen, dass die Europäische Kommission bei Änderungen der Rechtslage in den USA den Angemessenheitsbeschluss jederzeit aussetzen, ändern, aufheben oder in seinem Anwendungsbereich einschränken kann. Diesbezüglich wurde bereits im Februar dieses Jahres bekannt, dass die Europäische Kommission seitens Mitglieder des Europäischen Parlaments aufgefordert wird, die Grundlagen des Angemessenheitsbeschlusses zu prüfen.

Insofern bleibt es bei dem bisherigen Resümee unserer Beiträge zu diesem Thema: Verantwortliche sollten sich zumindest einen möglichen Plan B ohne Data Privacy Framework zurechtlegen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Bereits vor zwei Wochen berichteten wir im Rahmen eines Blog-Beitrags über die aktuellen Entwicklungen in den USA mit Blick auf das EU-U.S. Data Privacy Framework (DPF) und möglichen Folgen für Verantwortliche. In einem kürzlich auf LinkedIn veröffentlichten Beitrag wird nun deutlich, dass das DPF womöglich kurz vor dem Aus stehen könnte: Die Europäische Kommission wird seitens Mitgliedern des Europäischen Parlaments aufgefordert, die Grundlagen des Angemessenheitsbeschlusses zu prüfen.

Schreiben an die Europäische Kommission

Das veröffentliche Schreiben des Vorsitzenden des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE), Javier Zarzalejos, enthält eine an den EU-Kommissar für Demokratie, Justiz und Rechtsstaatlichkeit, Michael McGrath, gerichtete Aufforderung, zu prüfen, inwiefern sich die aktuellen Entwicklungen in den USA auf den Angemessenheitsbeschluss, insbesondere unter Berücksichtigung des Schrems II – Urteils, auswirken. Konkret heißt es:

„The LIBE Committe has learned that some members of the PCLOB were recently removed by the White House from their positions. As there ist only one out of five Board members remaining, the PCLOB is no longer operational due to not reaching the minimum level of members required to have a quorum. Therefore, I would be grateful if you could provide me wit he Commissions’s assessment of whether the above-mentioned changes affect the adequacy of the Data Privacy Framework, including whether the mechanism still meets the requirements of „essential equivalence“ as established by the Court of Justice in case C-311/18 Schrems II.“

Die Darstellungen decken sich insoweit auch mit einer Berichterstattung von Bloomberg. Abzuwarten bleibt, wie sich die Europäische Kommission hierzu verhält beziehungsweise ob und wann möglicherweise eine Aberkennung des Angemessenheitsbeschlusses erfolgt.

Mögliche Folgen

In den Kommentaren des benannten LinkedIn-Beitrags wird kontrovers diskutiert, welche konkreten Folgen eine mögliche Aberkennung des Angemessenheitsbeschlusses haben könnte. Schließlich bestehen neben einem Angemessenheitsbeschluss (Art. 45 DS-GVO) noch eine Reihe weiterer Übermittlungsgrundlagen, mittels derer die Übermittlung personenbezogener Daten in die USA legitimiert werden könnte. Allen voran sind die seitens der Europäischen Kommission verabschiedeten Standardvertragsklauseln zu benennen.

Oftmals wird jedoch übersehen, dass nicht in allen Sektoren ein Wechsel auf die Standardvertragsklauseln erfolgen kann. So heißt es zum Beispiel in § 80 Abs. 2 SGB X: „Der Auftrag zur Verarbeitung von Sozialdaten darf nur erteilt werden, wenn die Verarbeitung im Inland, in einem anderen Mitgliedstaat der Europäischen Union, in einem diesem nach § 35 Absatz 7 des Ersten Buches gleichgestellten Staat, oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat oder in einer internationalen Organisation erfolgt.“ Eine Übermittlung auf Grundlage der Standardvertragsklauseln ist demnach explizit nicht vorgesehen.

Weiterhin muss kritisch hinterfragt werden, inwiefern eine Datenübermittlung in der Breite überhaupt noch auf die Standardvertragsklauseln gestützt werden könnte. Schließlich bedarf der Abschluss der Standardvertragsklauseln nach Klausel 14 die Durchführung einer Transferfolgenabschätzung, wonach ebenfalls die „relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes“ gebührend berücksichtigt werden müssen. Unter Wahrnehmung der derzeit stattfinden Einwirkungen auf rechtsstaatliche Prinzipien, wird eine objektiv durchgeführte und nicht vom (positiven) Ergebnis her argumentierte Transferfolgenabschätzung des Öfteren negativ ausfallen werden müssen.

Insofern wird zukünftig eine stärkere Fokussierung auf umzusetzende technische Maßnahmen zu legen sein. Allen voran ist hierbei die Verschlüsselung nach aktuellem Stand der Technik zu nennen, wobei diese wohl auch nur dann als wirksamer Schutzmechanismus bezeichnet werden kann, wenn eine Verwaltung der Schlüssel nicht durch den identischen oder einen weiteren US-Dienstleister erfolgt. Diese Anforderung mag zwar banal klingen, findet in der Praxis jedoch meist zu wenig Berücksichtigung. Mit Umsetzung einer wirksamen Verschlüsselung können datenschutzrechtliche Problematiken reduziert oder ganz ausgeschlossen werden. Jedoch muss ebenfalls darauf hingewiesen werden, dass eine Reihe verbreiteter Cloud-Dienste mit verschlüsselten Informationen nicht (vollständig) nutzbar sind.

Spätestens an dieser Stelle ergibt sich die Empfehlung zur Prüfung vergleichbarer Software-Alternativen mit Verarbeitungsort innerhalb der Europäischen Union – wohlwissend, dass sich auch hierüber nicht immer eine passende Lösung finden lassen wird.

Fazit

Auch nach wie vor ist zum gegenwärtigen Zeitpunkt keine Panik angebracht. Die ersten Anzeichen machen jedoch deutlich, dass noch in diesem Jahr eine Änderung der Rechtslage eintreten könnte. Insofern bleibt es bei dem Resümee des vor kurzem veröffentlichten Blog-Beitrags: Verantwortliche sollten sich zumindest einen möglichen Plan B ohne EU-U.S. Data Privacy Framework zurechtlegen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Es vergeht derzeit wohl kaum ein Tag, an dem die neue Regierung um US-Präsident Donald Trump nicht für neue Schlagzeilen sorgt. Einige der Entscheidungen, die derzeit in Washington, D. C. getroffen werden, könnten sich auch auf datenschutzrechtliche Aspekte in Europa auswirken. So drohen Verantwortlichen, die personenbezogene Daten derzeit auf Grundlage des EU-U.S. Data Privacy Frameworks in die USA übermitteln, erneut rechtliche Unsicherheiten. Unter Berücksichtigung der oftmals selbstverständlichen Nutzung von Cloud- und KI-Anwendungen US-amerikanischer Anbieter, könnte dies eine Vielzahl von Unternehmen, Behörden und Vereinen treffen.

Was ist das EU-U.S. Data Privacy Framework (DPF)?

Mit dem DPF wird zertifizierten Unternehmen in den USA ein im Verhältnis zur Europäischen Union vergleichbares Datenschutzniveau attestiert. Es räumt Bürgern der Europäischen Union gegenüber US-amerikanischen Unternehmen neue Rechte ein, zum Beispiel das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung unrichtiger oder unrechtmäßig verarbeiteter personenbezogener Daten. Weiterhin bestehen verschiedene Rechtsbehelfe sowie unabhängige Streitbeilegungsmechanismen und ein Schlichtungsgremium.

Die US-amerikanischen Unternehmen können ihre Teilnahme am DPF zertifizieren lassen, indem diese sich verpflichten, verschiedene datenschutzrechtliche Anforderungen (z. B. Zweckbindung, Datenminimierung) einzuhalten. Die Zertifizierungsanträge werden durch das US-Handelsministerium bearbeitet. Dieses überwacht ebenfalls, ob die teilnehmenden Unternehmen die Zertifizierungsanforderungen weiterhin erfüllen.

Möglich ist ein solches Vorgehen auf Grundlage des Art. 45 DS-GVO, wonach die Europäische Kommission unter Prüfung verbindlich definierter Kriterien sogenannte Angemessenheitsbeschlüsse treffen kann. Vorteil: In die betreffenden Länder kann eine Übermittlung personenbezogener Daten auf Grundlage des Angemessenheitsbeschlusses erfolgen. Es bedarf sodann – neben der Beachtung der sonstigen datenschutzrechtlichen Vorschriften – keiner weiteren besonderen Vorkehrungen, wie beispielsweise des Abschlusses von Standardvertragsklauseln und der Durchführung einer Transferfolgenabschätzung.

Wieso könnte das EU-U.S. Data Privacy Framework in Gefahr sein?

Möglich wurde das DPF insbesondere aufgrund von Änderungen der Rechtslage in den USA: Nachdem im März 2022 bekannt wurde, dass die EU und die USA an einem Nachfolgeabkommen zum EU-US-Privacy Shield arbeiten, erfolgte im Oktober 2022 der Erlass einer Executive Order über die Verbesserung der Garantien für US-Signalspionagetätigkeiten (Executive Order (EO) 14086). Hierdurch wurde die Grundlage für die Umsetzung des DPF geschaffen. Auf Grundlage der Executive Order folgte am 13. Dezember 2022 der Beschlussentwurf der Europäischen Kommission über die Angemessenheit des Schutzniveaus personenbezogener Daten nach dem DPF.

Mittels Executive Orders (deutsch: Durchführungsverordnung) können US-Präsidenten ohne Zustimmung des Kongresses rechtlich verbindliche Regelungen erlassen. Diese gelten zeitlich unbefristet, können jedoch durch einen amtierenden US-Präsidenten zu jeder Zeit abgeändert oder zurückgenommen werden.

Einerseits steht nun die benannte Executive Order, auf der das DPF beruht, in ihrer Gesamtheit auf der Kippe. Andererseits habe die US-Regierung bereits die demokratischen Mitglieder des Privacy und Civil Liberties Oversight Board (PCLOB) zum Rücktritt aufgefordert. Dies stellt eine unmittelbare Gefährdung der Funktionsfähigkeit des PCLOB dar, welches unter anderem für die Überwachung der Einhaltung der Vorgaben des DPF ist. Insofern könne auch die Begrenzung der Zugriffe von US-Geheimdiensten auf ein notwendiges und verhältnismäßiges Maß nicht mehr hinreichend kontrolliert werden.

Eine derartige Entwicklung könnte nun dafür sorgen, dass die Europäische Kommission den bestehenden Angemessenheitsbeschluss widerruft, ändert oder aussetzt (Art. 45 Abs. 5 DS-GVO). Aber auch im Rahmen eines Verfahrens vor dem Europäischen Gerichtshof könnte der Angemessenheitsbeschluss auf Grundlage des DPF kassiert werden. Ein Schicksal, dass bereits die Vorgänger-Abkommen „Safe Harbour“ und „Privacy Shield“ ereilte. Konkrete Anzeichen lassen sich derzeit jedoch noch (?) für keines der beiden Szenarien finden.

Wie sollten Verantwortliche mit der Situation umgehen?

In jedem Fall empfiehlt es sich, einen genauen Überblick darüber zu haben, inwieweit personenbezogene Daten in die USA (und andere Länder außerhalb der Europäischen Union) übermittelt und cloudbasierte Anwendungen von Anbietern mit Sitz in diesen Ländern verwendet werden. Insbesondere sofern solche Übermittlungen im Rahmen von geschäftskritischen Prozessen stattfinden, sollten alternative Übermittlungsmechanismen (z. B. Standardvertragsklauseln) geprüft und vorbereitet oder zumindest bereitgehalten werden.

Darüber hinaus empfiehlt sich stets eine Prüfung, ob mittels vergleichbarer Software-Alternativen mit Verarbeitungsort innerhalb der Europäischen Union derartige Datenübermittlungen für die Zukunft reduziert werden könnten. Weiterhin können auch geeignete und wirksame Verschlüsselungsverfahren angewandt werden. Hierbei sollte jedoch stets ein kritischer Blick darauf gelegt werden, an welchem Ort und durch wen die zugehörigen Schlüssel verwaltet werden.

Panik ist zum gegenwärtigen Zeitpunkt nicht angebracht. Verantwortliche sollten sich jedoch der Risiken bewusst sein und sich zumindest einen möglichen Plan B ohne EU-U.S. Data Privacy Framework zurechtlegen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss nach dem EU-U.S. Data Privacy Framework angenommen. Damit wird den USA ein im Vergleich zur Europäischen Union vergleichbares Datenschutzniveau attestiert. Für Verantwortliche ergeben sich hierdurch erhebliche Erleichterungen im Rahmen des Einsatzes US-amerikanischer Dienstleister. Doch an dem neuen Angemessenheitsbeschluss gibt es auch Kritik. Alle wichtigen Informationen erhalten Sie in diesem Beitrag.

Was ist ein Angmessenheitsbeschluss?

Die Europäische Kommission kann auf Grundlage des Art. 45 DS-GVO einen Beschluss treffen, nach welchem für ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau festgestellt wird. Gemäß Art. 45 Abs. 2 DS-GVO hat die Kommission hierbei folgende Kriterien zu berücksichtigen:

• Die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, einschlägige Rechtsvorschriften, auch in Bezug auf die öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie der Zugang der Behörden zu personenbezogenen Daten, die Anwendung dieser und datenschutzrechtlicher Vorschriften sowie die Möglichkeit zur Durchsetzung von Rechten der betroffenen Person und die Wirksamkeit der verwaltungsrechtlichen und gerichtlichen Rechtsbehelfe;

•  Die Existenz und wirksame Funktionsweise unabhängiger Aufsichtsbehörden für die Einhaltung und Durchsetzung datenschutzrechtlicher Vorschriften, einschließlich angemessener Durchsetzungsbefugnisse sowie für die Unterstützung und Beratung von betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten;

• Die eingegangenen internationalen Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.

Sofern die Kommission unter Berücksichtigung der aufgeführten Kriterien eine Angemessenheit des Datenschutzniveaus feststellt, übernimmt diese die Aufgabe der regelmäßigen Überwachung, im Rahmen derer stets die aktuellen Entwicklungen innerhalb des Drittlandes oder der internationalen Organisation berücksichtigt werden.

Bisher verfügten folgende Länder und Gebiete über einen Angemessenheitsbeschluss der Europäischen Kommission: Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel, Japan, Jersey, Kanada (beschränkt auf Datenübermittlungen an „commercial organisations“), Neuseeland, Schweiz, Südkorea, Uruguay und das Vereinigte Königreich. Nun sind auch die USA in diesem Zusammenhang mit aufzuführen.

In die zuvor genannten Länder kann eine Übermittlung personenbezogener Daten auf Grundlage des Angemessenheitsbeschlusses erfolgen. Es bedarf sodann – neben der Beachtung der sonstigen datenschutzrechtlichen Vorschriften – keiner weiteren besonderen Vorkehrungen, wie beispielsweise des Abschlusses von Standardvertragsklauseln und der Durchführung einer Transferfolgenabschätzung.

Was ist das EU-U.S. Data Privacy Framework?

Nachdem im März 2022 bekannt wurde, dass die EU und die USA an einem Nachfolgeabkommen zum EU-US-Privacy Shield arbeiten, erfolgte im Oktober 2022 der Erlass einer Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten (Executive Order (EO) 14086). Hierdurch wurde die Grundlage für die Umsetzung des „EU-U.S. Data Privacy Framework“ geschaffen. Auf Grundlage der Executive Order folgte am 13. Dezember 2022 der Beschlussentwurf der Europäischen Kommission über die Angemessenheit des Schutzniveaus personenbezogener Daten nach dem EU-U.S. Data Privacy Framework (wir berichteten).

Das EU-U.S. Data Privacy Framework räumt Bürgern der Europäischen Union gegenüber US-amerikanischen Unternehmen neue Rechte ein (z.B. das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung unrichtiger oder unrechtmäßig verarbeiteter personenbezogener Daten). Weiterhin bestehen verschiedene Rechtsbehelfe sowie unabhängige Streitbeilegungsmechanismen und ein Schlichtungsgremium. Die US-amerikanischen Unternehmen können ihre Teilnahme am EU-U.S. Data Privacy Framework zertifizieren lassen, indem diese sich verpflichten, verschiedene datenschutzrechtliche Anforderungen (z.B. Zweckbindung, Datenminimierung) einzuhalten. Die Zertifizierungsanträge werden durch das US-Handelsministerium bearbeitet. Dieses überwacht ebenfalls, ob die teilnehmenden Unternehmen die Zertifizierungsanforderungen weiterhin erfüllen.

Welche Beschränkungen gelten nun hinsichtlich US-amerikanischer Ermittlungsbehörden?

Bezugnehmend  auf die Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten (Executive Order (EO) 14086) führt die Europäische Kommission im Rahmen ihrer Presseerklärung folgende Punkte an:

• Verbindliche Garantien, die den Zugriff auf Daten durch US-Nachrichtendienste auf das beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist;

• eine verstärkte Aufsicht über die Aktivitäten der US-Geheimdienste, um die Einhaltung der Beschränkungen von Überwachungsmaßnahmen zu gewährleisten; und

• die Einrichtung eines unabhängigen und unparteiischen Rechtsbehelfsmechanismus, zu dem auch ein neues Datenschutzprüfungsgericht gehört, das Beschwerden über den Zugriff der nationalen Sicherheitsbehörden der USA auf ihre Daten untersucht und entscheidet.

Für welchen Zeitraum gilt der Angemessenheitsbeschluss?

Der Angemessenheitsbeschluss trat mit seiner Annahme am 10. Juli 2023 in Kraft und gilt zunächst unbefristet. Zu beachten ist jedoch, dass es zunächst einer Zertifizierung teilnehmender Unternehmen unter dem EU-U.S. Data Privacy Framework bedarf, bevor Datenübermittlungen auf Grundlage des Angemessenheitsbeschlusses rechtssicher erfolgen können.

Kritik an dem neuen Angemessenheitsbeschluss äußerte bereits Max Schrems sowie die von ihm gegründete NGO „noyb“. Nachdem Schrems vor dem Europäischen Gerichtshof bereits das Kippen der beiden vorhergehenden Angemessenheitsbeschlüsse („Safe Harbor„, „Privacy Shield„) erreichte, scheint es nur eine Frage der Zeit zu sein, bevor der Europäische Gerichtshof auch über das EU-U.S. Data Privacy Framework entscheiden müssen wird.

Update 13. Juli 2023:

Die International Trade Administration (ITA), eine Behörde des Handelsministeriums der Vereinigten Staaten, weist auf ihrer Internetseite darauf hin, dass die Unternehmen, welche bereits unter dem EU-U.S.-Privacy Shield zertifiziert waren, keine gesonderte Zertifizierung nach dem EU-U.S. Data Privacy Framework benötigen. Konkret heißt es:

„The EU-U.S. DPF Principles entered into effect as of the same date. U.S. based organizations that self-certified their commitment to comply with the EU-U.S. Privacy Shield Framework Principles must comply with the EU-U.S. DPF Principles, including by updating their privacy policies by October 10, 2023. Those organizations do not need to make a separate, initial self-certification submission to participate in the EU-U.S. DPF and may begin relying immediately on the EU-U.S. DPF adequacy decision to receive personal data transfers from the European Union / European Economic Area.“

Weiterhin wird durch die ITA am 17. Juli 2023 die offizielle Internetseite zum Data Privacy Framework veröffentlicht.

UPDATE 17. JUli 2023:

Die offizielle Internetseite zum Data Privacy Framework wurde heute veröffentlicht. Von nun an können Datenübermittlungen in die USA auf Grundlage des Angemessenheitsbeschlusses gestützt werden, sofern der Empfänger nachprüfbar unter dem Data Privacy Framework zertifziert ist. Die bestehenden Zertifizierungen können auf der Internetseite unter dem Menüpunkt „Data Privacy Framework List“ eingesehen werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WAS WURDE GEPRÜFT?

Der Arbeitskreis hatte „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft Onlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020“ geprüft und hinsichtlich der Erfüllung der Anforderungen von Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) bewertet. Im Einzelnen:

(1) Zunächst kritisiert der Beschluss die fehlende Beschreibung von Art und Zweck der Verarbeitung – selbst wenn es unter der Berücksichtigung des Dienstes MS Office 365 als cloudspezifischer Dienst sachdienlich sein kann, beide Kategorien verallgemeinert darzustellen – insbesondere wenn es um die Verarbeitung besonderer personenbezogener Daten im Sinne von Art. 9 DS-GVO geht. Es soll hierbei der Abstraktionsgrad auf Seiten von Microsoft verringert werden.

(2) Weiterhin merkt der Arbeitskreis an, dass innerhalb der Datenschutzbestimmungen für Microsoft Online-Dienste zwar darauf verwiesen wird, dass Microsoft als ein unabhängiger Verantwortlicher anzusehen ist, soweit personenbezogene Daten im Zusammenhang mit den legitimen Geschäftszwecken von Microsoft verarbeitet werden. Jedoch geht aus den Bestimmungen nicht eindeutig hervor, welche personenbezogenen Daten in diesem Rahmen verarbeitet werden. Zudem liegt für die Übermittlung weiterer personenbezogener Daten vom Verantwortlichen an Microsoft, z.B. im Rahmen der Telemetriedaten, neben dem Auftragsverarbeitungsvertrag keine weitere belastbare Rechtsgrundlage vor. Die ist insbesondere für öffentliche Stellen problematisch, da diese sich gemäß Art. 6 Abs. 1 S. 2 DS-GVO in der Erfüllung ihrer Aufgaben vorgenommenen Verarbeitungen nicht auf ein etwaiges berechtigtes Interesse im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DS-GVO berufen können.

(3) Ferner kritisiert der Arbeitskreis, dass Microsoft Daten offenlegen muss, wenn die Datenschutzbestimmungen es vorsehen oder dies gesetzlich vorgeschrieben ist. Insbesondere wird hierbei auf den sogenannten Cloud-Act verwiesen, dem Microsoft als US-Dienstleister unterliegt.

(4) Gerügt wird außerdem, dass seitens Microsoft keine ausreichende Darstellung erfolgt, welche dem Risiko angemessenen Maßnahmen der angebotene Onlinedienst für die Verarbeitung von personenbezogenen Daten bietet. Die derzeitige Darstellung zu den technischen und organisatorischen Maßnahmen allein reiche nicht aus, um eine objektive Einschätzung zu treffen, ob die Maßnahmen dem Risiko angemessen sind.

(5) Außerdem wird angemerkt, dass durch Microsoft Daten, die zu eigenen Zwecken verarbeitet werden, nicht gelöscht werden.

(6) Schließlich wird eine fehlende Transparenz hinsichtlich des Einsatzes von Unterauftragnehmern kritisiert. Diesbezüglich soll Microsoft in Zukunft proaktiv Mechanismen zur Benachrichtigung der Kunden treffen.

WAS WURDE NICHT GEPRÜFT?

Microsoft hat seine OST sowie seine DPA seit Januar 2020 bereits mehrfach überarbeitet und angepasst. Hierbei wurden Änderungen in den Verträgen und auch in den Dokumentationen vorgenommen. Die Prüfung des Arbeitskreises beruht nicht auf den aktualisierten Dokumenten. Es erfolgt keine differenzierte Betrachtung einzelner Produkte. Microsoft Office 365 ist vielmehr ein Oberbegriff für eine ganze Produktgruppe, welche strenggenommen in Office 365 und Microsoft 365 zu unterteilen sind. Innerhalb der Produktgruppen gibt es zudem zahlreiche Produkte, Lizenzen und Konfigurationsmöglichkeiten. Keine Berücksichtigung fand ferner das Urteil des Europäischen Gerichtshofes (EuGH) vom 16. Juli 2020 in der Rechtssache C-311/18 (Schrems II).

WELCHE AUSWIRKUNGEN HAT DER BESCHLUSS FÜR DIE PRAXIS?

Festzuhalten bleibt, dass nicht alle Aufsichtsbehörden der DSK der datenschutzrechtlichen Bewertung des Arbeitskreises folgen. Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands stellen klar, dass auch sie bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des EuGH zu internationalen Datentransfers. Sie unterstützen im Grundsatz die Zielsetzungen des Arbeitskreises, soweit er Ansatzpunkte für datenschutzrechtliche Verbesserungen des Produkts Microsoft Office 365 formuliert. Seine Gesamtbewertung können sie allerdings schon deshalb nicht teilen, weil sie zu undifferenziert ausfällt. Die genannten Aufsichtsbehörden sehen die Bewertung des Arbeitskreises Verwaltung vom 15. Juli 2020 zwar als relevante Arbeitsgrundlage, aber noch nicht als entscheidungsreif an. Das gilt umso mehr, als bislang noch keine förmliche Anhörung von Microsoft zu den Bewertungen des Arbeitskreises Verwaltung erfolgt ist.

Ziel des Beschlusses war es, dass eine Grundlage geschaffen wird, auf deren Basis in den Dialog mit Microsoft getreten werden kann. Diese Gespräche sollen federführend durch den Landesbeauftragten für den Datenschutz Brandenburg und das Bayerischen Landesamts für Datenschutzaufsicht zeitnah aufgenommen werden.

Die größte Herausforderung seitens Microsoft dürfte die Anpassung hinsichtlich der Offenlegung z.B. gegenüber Strafverfolgungsbehörden (beispielsweise aufgrund des Cloud-Act) sein. Microsoft selbst setzt bereits vor dem Urteil des EuGH auf die sogenannten EU-Standardvertragsklauseln. Jedoch kann auch so ein Zugriff durch US-Behörden nicht ausgeschlossen werden. Ein Problem, welches jedoch nahezu alle US-Dienstleister gleichermaßen betrifft. Abzuwarten bleibt hier die Entwicklung hinsichtlich der Wirksamkeit der Standardvertragsklauseln.

Aufgrund der vorangestellten Ausführungen sind derzeit wohl keine konkreten Maßnahmen seitens der Aufsichtsbehörden aufgrund des Dokumentes des Arbeitskreises zu erwarten. Vielmehr geht die DSK selbst davon aus, dass eben jenes Dokument zunächst eine Gesprächsgrundlage mit Microsoft bilden kann. Organisationen in der Praxis sollten in aller erster Linie Ruhe bewahren und keine voreiligen Entscheidungen treffen. Vielmehr sollte mit größter Sorgfalt die weitere Entwicklung beobachtet werden. Deutlich wird jedoch, dass ohne jegliche Konfiguration Produkte aus den Gruppen Office 365 und Microsoft 365 nicht datenschutzkonform genutzt werden können.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

WAS WURDE ENTSCHIEDEN?

Der Österreicher Max Schrems hatte gegen die Facebook Ireland Ltd. geklagt. In der Begründung brachte er vor, dass Daten der Nutzer des Social-Media-Plattform zu großen Teilen auf den Servern in den Vereinigten Staaten gespeichert werden. In den USA könne jedoch u.a. aufgrund der Zugriffsrechte der US-Geheimdienste kein angemessenes Schutzniveau garantiert werden.

Der EuGH stellte nunmehr in seinem Urteil fest, dass die Übermittlung personenbezogener Daten in die USA auf der Grundlage des EU-US-Privacy Shield unzulässig ist und unverzüglich eingestellt werden muss, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Somit wurde die Hauptgrundlage für einen Datentransfer zwischen der EU und den USA entzogen. Konsequenz ist, dass der Einsatz der meisten US-Unternehmen wie bspw. Cloudflare, Facebook, Google, LinkedIn, MailChimp Twitter, YouTube, etc. torpediert wurde.

IST EINE DATENÜBERMITTLUNG IN DIE USA WEITERHIN MÖGLICH

Das Urteil hebt nicht den kompletten Datentransfer in die USA auf. Eine Datenübermittlung bleibt weiterhin zulässig, sofern die Voraussetzungen der Art. 44 bis Art. 49 DS-GVO erfüllt sind, d.h. eine gültige Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in ein Drittland vorliegt. Bei den USA handelt es sich um ein solches Drittland. Nach dem Wegfall des Privacy-Shields rücken allem voran die Standardvertragsklauseln (nach Art. 46 Abs. 2 lit. c) DS-GVO „Standarddatenschutzklauseln“ genannt) ins Blickfeld. Diese Klauseln können auch nach Ansicht des EuGHs grundsätzlich eine gültige Rechtsgrundlage für die Datenübermittlung darstellen. Voraussetzung ist jedoch, dass das europäische Datenschutzniveau entsprechend eingehalten wird.

Mittlerweile hat der Europäische Datenschutzausschuss diesbezüglich Leitlinien veröffentlicht, welche Verantwortlichen bei der Anwendung der Norm eine Hilfestellung leisten sollen. Als weitere Handlungsmöglichkeit wird immer häufiger in Betracht gezogen, die betroffenen Personen jeweils in die Übertragung ihrer personenbezogenen Daten in die USA einwilligen zu lassen.

WELCHER HANDLUNGSBEDARF ERGIBT SICH FÜR VERANTWORTLICHE IN DER PRAXIS?

Verantwortliche, die weiterhin personenbezogene Daten in die USA übermitteln wollen, müssen alternative Rechtsgrundlagen wie bspw. die Standardvertragsklauseln in Betracht ziehen und diese entsprechend überprüfen. Hierfür ist es ratsam sich zunächst einen Überblick zu verschaffen, welche US-Dienstleister eingesetzte werden und ob eine Übermittlung personenbezogener Daten von Betroffenen an diese Unternehmen erfolgt.

Ergibt sich nach der Überprüfung, dass Sie den US-Unternehmen personenbezogene Daten Ihrer Nutzer übermitteln, bedarf es anschließend einer Regelung zur Legitimation der Datenübermittlung, z.B. Abschluss von Standardvertragsklauseln, Nutzung einer Einwilligungslösung, Verwendung von Servern innerhalb der EU usw. Bei der Verwendung der Standardvertragsklausel sollte bei den US-Unternehmen nachgehakt werden, wie die vertraglichen Garantien eingehalten werden und durch welche geeigneten technischen Maßnahmen sie den Zugriff der US-Behörden unterbinden.

Insbesondere ergibt sich voraussichtlich auch Handlungsbedarf hinsichtlich der meisten Datenschutzinformationen. So enthalten zahlreiche Informationen einen Hinweis auf den EU-US-Privacy-Shield als Rechtsgrundlage für die Datenübermittlung. Diese Formulierungen sind nunmehr entsprechend anzupassen.

Mittlerweile haben die deutschen Datenschutzaufsichtsbehörden angekündigt, bundesweit Webseiten hinsichtlich der rechtkonformen Einbindung von Tracking-Technologien zu überprüfen (hierzu die Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg). Gleichzeitig hat auch Max Schrems mit seiner „NGO noyb“ 101 Beschwerden gegen zahlreiche Unternehmen in Europa eingereicht.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.