Wie wir bereits berichteten, hat die EU-Kommission vergangene Woche den neuen Angemessenheitsbeschluss für das „EU-U.S. Data Privacy Framework“ erlassen. Nachdem sich inzwischen auch einige Behörden zu der Thematik geäußert haben, wollen wir dies zum Anlass nehmen, einen Überblick über das aktuelle Stimmungsbild in den deutschen Datenschutzaufsichtsbehörden zu geben.
Der Inhalt im Überblick
Data Privacy Framework: Das Thema der Stunde
Kaum jemand in der Datenschutz-Bubble dürfte in der letzten Woche an den „Breaking News“ vorbeigekommen sein: Der Angemessenheitsbeschluss für das „EU-U.S. Data Privacy Framework“ / Datenschutzrahmen EU-USA ist da. Obwohl nach Aussage der Präsidentin der EU-Kommission Ursula von der Leyen das EU-U.S. Data Privacy Framework einen sicheren Datenverkehr für die Europäerinnen und Europäer gewährleisten und für Unternehmen Rechtssicherheit bringen soll, ist die Stimmung in den deutschen Datenschutzaufsichtsbehörden im Hinblick auf den Angemessenheitsbeschluss nicht überall gleichermaßen gut.
Data Privacy Framework ist kein Grund zur Euphorie
Eine der Datenschutzaufsichtsbehörden findet besonders drastische Worte: Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit titelt in seiner zum Angemessenheitsbeschluss erlassenen Pressemitteilung, dass der neue EU-U.S. Data Privacy Framework-Beschluss keinen Grund zur Euphorie biete. Nicht zu überlesen ist, dass man in Thüringen davon ausgeht, dass der Angemessenheitsbeschluss keinen Bestand haben wird. An mehreren Stellen klingt durch, dass es nur eine Frage der Zeit sei, bis der EuGH den Beschluss wieder aufheben werde. Beendet wird die Pressemitteilung mit einem Zitat des uns allen bekannten Juristen Maximilian Schrems, der bereits die beiden vorangegangenen Beschlüsse der Europäischen Kommission („Safe Harbour“ und „Privacy Shield“) vor dem EuGH zu Fall gebracht hat:
„Man sagt, die Definition von Wahnsinn ist, dass man immer wieder das Gleiche tut
und dennoch ein anderes Ergebnis erwartet.“
Zum Abschluss lässt es sich der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit nicht nehmen, der EU-Kommission noch eine finale Spitze mit auf den Weg zu geben: Solle der neue Beschluss zum dritten Mal vom EuGH aufgehoben werden, werde sich die Europäische Kommission viele kritische Fragen stellen lassen müssen.
Neutralität seitens der baden-württembergischen Behörde
Einen völlig anderen Ansatz fährt der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg. Hier wird sich in der Pressemitteilung darauf beschränkt, darüber zu informieren, was der neue Angemessenheitsbeschluss beinhaltet und was dies in der Folge für Unternehmen, die Datenübermittlungen in die USA durchführen wollen, bedeutet.
In der Gesamtschau schwingt ein neutraler bis leicht positiver Unterton mit: Die Behörde hebt hervor, dass die neuen Regelungen auch eine Pflicht der importierenden Stellen in den USA beinhalten, sich an die DSGVO angelehnte Datenschutzgrundsätze wie den Erforderlichkeitsgrundsatz und den Transparenzgrundsatz zu halten und Betroffenenrechte wie Auskunfts- und Löschungsansprüche zu erfüllen. Betroffenen würden außerdem Rechtsbehelfe vor unabhängigen Schiedsstellen in den USA offen stehen. Ebenfalls weist der LfDI Baden-Württemberg darauf hin, dass ein flankierendes Dekret der US-Regierung die Nachrichtendienste der USA auf die Beachtung bestimmter datenschutzrechtlicher Grundsätze, wie z.B. das Verbot grundloser Massenüberwachung, eingeschworen habe. Alles in allem wird in Baden-Württemberg keine bis wenig Kritik am Angemessenheitsbeschluss geübt, lediglich zum Ende der Pressemitteilung hin erfolgt der Hinweis, dass sich der Europäische Datenschutzausschuss wohlwollend kritisch und das Europäische Parlament ablehnend gegenüber der Neuregelung geäußert habe.
Behörden geben keine Entwarnung für US-Datenübermittlungen
Die Landesbeauftragte für den Datenschutz Niedersachsen empfiehlt in ihrer Stellungnahme zum EU-U.S. Data Privacy Framework einen eher sicherheitsbasierten Ansatz: Da es perspektivisch zu erwarten sei, dass auch der neue Datenschutzrahmen vom EuGH überprüft werde, könne aus behördlicher Sicht noch keine abschließende langfristige Entwarnung für Datenübermittlungen in die USA gegeben werden. Nicht nehmen lässt sich die Behörde in der Folge den Hinweis darauf, dass, wenn die Verarbeitung personenbezogener Daten ausschließlich im Europäischen Wirtschaftsraum erfolge, Verantwortliche und Auftragsverarbeiter hierüber eine effektive Kontrolle behalten und die Einhaltung des Datenschutzniveaus langfristig und dauerhaft sicherstellen können.
Auch in Hessen ist man der Ansicht, dass mit dem neuen Angemessenheitsbeschluss mutmaßlich nur vorübergehend mehr Rechtssicherheit bestehen dürfte. Es sei damit zu rechnen, dass das EU-U.S. Data Privacy Framework genau so wie seine Vorgängerabkommen gerichtlich vom EuGH überprüft werden wird. Viel Hoffnung, dass die Regelung Bestand haben wird, schwingt hier nicht mit.
Ob Ruhe einkehrt, ist zweifelhaft
Während die meisten deutschen Aufsichtsbehörden, von denen zum heutigen Tag eine Stellungnahme vorliegt, sich eher zurückhaltend bis minimal kritisch positioniert haben, hat der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit einen rauen Ton angeschlagen. Ob er damit das ausgesprochen hat, was alle denken, bleibt reine Mutmaßung. Sicher ist nur: Da Maximilian Schrems bereits angekündigt hat, wieder Klage einzureichen, erwarten uns im Hinblick auf den Datentransfer zwischen der EU und den USA wohl keine ruhigen Zeiten.