Seit Juli gilt der neue Angemessenheitsbeschluss für den Datentransfer in die USA, das EU US-Data Privacy Framework. Kritik hieran war schon früh zu hören. Wenig überraschend sind erste Verfahren anhängig. Überraschend ist dagegen: Es gab sogar bereits erste Gerichtsentscheidungen. Also: Gilt das EU US-DPF noch oder wackelt der US-Datentransfer schon wieder?
Seit dem 10. Juli 2023 ist das EU US-Data Privacy Framework (DPF), der neue Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO, in Kraft. Personenbezogene Daten können darunter sicher an zertifizierte Unternehmen übermittelt werden. Ob ein Unternehmen zertifiziert ist, sollte stets aktuell überprüft werden (hier). Wir haben darüber in unserem Newsletter an dieser Stelle berichtet.
Der Beschluss attestiert ein angemessenes Schutzniveau, vergleichbar mit dem der Europäischen Union, für personenbezogene Daten, die auf der Grundlage des DPF aus der EU an unter dem DPF zertifizierte US-Unternehmen übermittelt werden. Neu ist dabei unter anderem die Einrichtung eines US-Gerichts („Data Protection Review Court“), an das sich EU-Bürger mit Beschwerden über den Zugriff auf ihre Daten durch US-Sicherheitsbehörden wenden können. Für die Übermittlung an nicht zertifizierte Unternehmen muss weiterhin auf die bekannten Mittel wie Standardvertragsklauseln oder Binding Corporate Rules zurückgegriffen werden (Art. 46, 47 DSGVO), regelmäßig notwendigerweise ergänzt um zusätzliche Maßnahmen.
Angemessenheitsbeschluss schon wieder in Gefahr?
Noch vor Erlass des DPF brandete bereits Kritik an diesem auf. In der öffentlichen Diskussion wurde es teils als bloße Kopie des 2020 durch den EuGH für unwirksam erklärten EU-US Data Privacy Shield bezeichnet. So überraschte es kaum, dass der neue Angemessenheitsbeschluss zeitnah bei den europäischen Gerichten landen würde. Die erste Klage gegen das DPF liegt vor. Der EU-Parlamentarier Philippe Latombe hat beim EuG Klage gegen den Beschluss der EU-Kommission zum Data Privacy Framework eingereicht, siehe hier seine Pressemitteilung (französisch). Er klagte auf Nichtigerklärung des DPF und verfolgt mit einem Antrag im einstweiligen Rechtsschutz dessen Aussetzung. Auch eine Einschaltung des EuGH – über nationale Gerichte – ist nur eine Frage der Zeit. NOYB rechnet nach eigenen Angaben mit einem Verfahren vor dem EuGH Anfang 2024. Wie die Gerichte indes entscheiden, ist völlig offen.
Erste Eilverfahren erfolglos
Bemerkenswert ist, dass ein erstes Eilverfahren gegen das DPF bereits erfolglos geblieben ist: Das EuG hat mit Beschluss vom 12. Oktober 2023 (Rs. T-553/23 R) den Antrag auf einstweilige Anordnung zurückgewiesen. Das DPF bzw. sein Vollzug wird nicht vorläufig ausgesetzt, sondern gilt bis zum Abschluss des Hauptsacheverfahrens. Dies ist ein erster Fingerzeig dahin, dass das EuG jedenfalls keine offensichtliche Unwirksamkeit sieht.
Anzuerkennen ist allerdings auch, dass die Hürden für eine solche einstweilige Anordnung im EU-Recht hoch sind. Die beantragte Anordnung muss sachlich und rechtlich „auf den ersten Blick“ gerechtfertigt (fumus boni juris) und dringend sein, also ohne Anordnung müssen schwere und nicht wiedergutzumachende Schäden drohen.
Dennoch ist die Entscheidung ein erster Fingerzeig dahin, dass das DPF von den Europäischen Gerichten jedenfalls nicht als „bloße Kopie“ des EU US-Privacy Shields gesehen wird, sondern es einer genaueren Würdigung bedarf.
Praxis bleibt vorerst sicher
Für die Praxis gilt ohnehin: Das DPF behält so lange Gültigkeit – und kann von Unternehmen für Datenübermittlungen in die USA herangezogen werden – bis es durch Entscheidung des EuGH für unwirksam erklärt wurde. Für die Unternehmenspraxis bedeutet dies also erst einmal Ruhe.
Allerdings ist Unternehmen zu raten, die Entwicklung im Auge zu behalten und insbesondere bei der Implementierung von Anwendungen, aus denen sich die Migration zu anderen Anbietern als schwierig gestaltet, zu bedenken, dass das DPF in einiger Zeit wieder kippen könnte. Ob das aber passiert, ist noch völlig offen.