Der nächste Schritt für einen rechtssicheren Datenverkehr in die USA ist getan – vorerst
Die EU-Kommission hat am 13. Dezember den Entwurf eines Angemessenheitsbeschlusses zum Datentransfer in die USA vorgelegt.
Die von Joe Biden am 7. Oktober unterzeichnete Präsidialverfügung (Executive Order) bildete das Fundament für das von den USA und der EU am 25. März 2022 angekündigte neueEU-U.S. Data Privacy Framework. Mit dem aktuellen Entwurf des Angemessenheitsbeschlusses ist nun ein weiterer wichtiger Schritt getan.
Die Europäische Kommission erkennt somit an, dass die USA ein angemessenes Schutzniveau, vergleichbar mit dem europäischen, für personenbezogene Daten, die aus der EU in die USA transferiert werden, bieten.
Der Beschluss sieht vor, dass sich US-Unternehmen, ähnlich den vormaligen Safe Harbour und Privacy Shield, einem EU-US Data Privacy Framework anschließen können, indem sie sich zur Einhaltung detaillierter Datenschutzregeln verpflichten.
Darüber hinaus sieht der US-Rechtsrahmen bestimmteBeschränkungen und Garantienin Bezug auf den Zugang von US-Behörden zu Daten vor, insbesondere für Datenzugriffe zum Zwecke der Strafverfolgung und der nationalen Sicherheit. Dazu gehören die mit der Executive Order eingeführten Vorschriften. Unter anderem soll der Zugang der US-Nachrichtendienste zu europäischen Daten aufdas zum Schutz der nationalen Sicherheitnotwendige und verhältnismäßige Maßbeschränkt werden. EU-Bürger sollen im Zusammenhang mit der Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste auf einunabhängiges und unparteiisches Rechtsbehelfsverfahrenzurückgreifen können (unter anderemein unentgeltliches Streitbeilegungsverfahren und eine Schiedsstelle), dasauch die Befassung eines neu geschaffenenGerichts zur Datenschutzüberprüfungeinschließt. Dieses Gericht soll etwaige Beschwerden von EU-Bürgerinnen und -Bürgern unabhängig untersuchen und beilegen. Ein wichtiger Schritt hin zu mehr Rechtsicherheit im internationalen Datentransfer.
In einem nächsten Schritt wird der Entwurf nun vom Europäischen Datenschutzausschuss (EDSA) überprüft. Der EDSA kann eine Stellungnahme zu dem Entwurf abgeben, diesen jedoch nicht verwerfen. Es wird zudem ein Ausschuss bestehend aus Vertretern der Mitgliedsstaaten gebildet, der den Entwurf prüft und eine Stellungnahme verfasst. Im Falle einer ablehnenden Stellungnahme besteht die Möglichkeit der Überarbeitung des Entwurfs durch die Kommission. Darüber hinaus hat das Europäische Parlament ein Kontrollrecht bei Angemessenheitsentscheidungen.
Es ist damit zu rechnen, dass im Frühjahr 2023 der finale Beschluss veröffentlicht und somit in Kraft treten wird. Sobald der Angemessenheitsbeschluss angenommen worden ist, können europäische Unternehmen personenbezogene Daten an teilnehmende Unternehmen in den Vereinigten Staaten übermitteln, ohne zusätzliche Datenschutzgarantien zwingend einführen zu müssen.
Bis zum endgültigen Angemessenheitsbeschluss ist es ratsam, den Datentransfer in die USA weiterhin mit geeigneten Mechanismen abzusichern, insbesondere mit Standardvertragsklauseln, zusätzlichen Sicherheitsmaßnahmen sowie der belegbaren Durchführung eines Transfer Impact Assessments. Im Rahmen des Letzteren empfiehlt es sich, Bezug auf die Executive Order sowie den Entwurf des Angemessenheitsbeschlusses zu nehmen.
Verbraucherschutzorganisationen wie das von Max Schrems geleitete noyb behalten sich vor, Klagen einzureichen, sobald der finale Beschluss veröffentlicht ist. Dabei wird sich noyb u.a. mit Begrifflichkeiten, wie der Verhältnismäßigkeit (bzgl. des Zugangs zu Daten durch US-Nachrichtendienste) beschäftigen, da die Position vertreten wird, dass nur dann ein wirksamer Schutz geboten werden kann, wenn „Verhältnismäßigkeit“ im europäischen Geist begriffen wird.
Es ist offen, ob und wie schnell es gelingen wird, den Angemessenheitsbeschluss vor den EuGH zu bringen. Es ist jedoch zu befürchten, dass auch dieser mit hoher Wahrscheinlichkeit den Anforderungen des EUGH nicht standhalten wird, da es weiterhin an einer grundlegenden Veränderung der rechtlichen Rahmenbedingungen in den Vereinigten Staaten fehlt.
Der BVDW appelliert an alle Beteiligten, sich für die finale Ratifizierung des Angemessenheitsbeschlusses einzusetzen und verweist auf die Verbesserungen, welche mit dem Beschluss, für Verbraucher*innen einhergehen.
Mehr zur Genese des neuen EU-U.S. Data Privacy Frameworks:
EU-US-Datentransfer 12.10.2022
BVDW zum Trans-Atlantic Data Privacy Framework 13.04.2022
BVDW zum Trans-Atlantic Data Privacy Framework – der Auftakt 28.03.2022