11.07.2023Fachbeitrag

Update Datenschutz Nr. 149

Aller guten Dinge sind drei – Angemessenheitsbeschluss der EU-Kommission schafft neuen Rechtsrahmen für Datentransfers in die USA

Mit Datum vom 10. Juli 2023 hat die Europäische Kommission („EU-Kommission“) einen Angemessenheitsbeschluss für den neuen EU-U.S-Data Privacy Framework („Data Privacy Framework“) veröffentlicht. Damit bescheinigt sie den USA ein angemessenes Schutzniveau für personenbezogene Daten, das mit dem der Europäischen Union vergleichbar ist. Der Angemessenheitsbeschluss ermöglicht die einfache Übermittlung von personenbezogenen Daten aus der EU in die USA an solche US-Unternehmen, die am Data Privacy Framework teilnehmen. Doch die bereits im Vorfeld geäußerten kritischen Stimmen bleiben unverändert laut.

Hintergrund

Der Angemessenheitsbeschluss für den Data Privacy Framework ist mittlerweile der dritte Anlauf der EU-Kommission und der US-Regierung, um einen Datenschutzrahmen für die – in der Praxis teils unerlässlichen – Transfers von personenbezogenen Daten in die USA zu schaffen.

Die ersten beiden Versuche waren vor dem Europäischen Gerichtshof („EuGH“) jeweils gescheitert. Mit Urteil vom 16. Juli 2020 (C 311/18 - „Schrems II“) erklärte der EuGH das vorherige Abkommen, den sog. Privacy Shield, für ungültig (siehe dazu auch Update Datenschutz Nr. 82). Bereits wenige Jahre zuvor, im Jahr 2015 hatte der EuGH die sog. „Safe-Harbor“-Entscheidung der EU-Kommission kassiert (C-362/14).

Seit der Schrems II Entscheidung des EuGH hat sich jedoch Einiges getan. Im März 2022 ließen die EU-Kommission und die USA verlauten, eine grundsätzliche Einigung über einen neuen Rechtsrahmen für den transatlantischen Datenverkehr gefunden zu haben. Die nachfolgend ergangene Executive Order des US-Präsidenten vom 7. Oktober 2022 hierzu (wir berichteten mit Update Datenschutz Nr. 120) machte deutlich, dass die USA (nunmehr) bereit sind, das Schutzniveau der personenbezogenen Daten dem europäischen Verständnis erheblich anzugleichen. Der Data Privacy Framework schafft nun einmal mehr verbindliche Garantien, um die Anforderungen des EuGH zu erfüllen. Inhaltlich geht er dabei über seine beiden Vorgänger hinaus.

Der EU-US-Privacy Framework ermöglicht ab sofort Datentransfers an zertifizierte Unternehmen

Mit sofortiger Wirkung können personenbezogene Daten aus der EU wieder ohne weitere Transfermechanismen (wie z. B. EU-Standardvertragsklauseln) oder zusätzliche Maßnahmen in die USA übermittelt werden.

Zentrale Voraussetzung ist allerdings, dass das empfangende US-Unternehmen oder die empfangende US-Organisation auch unter dem Data Privacy Framework zertifiziert ist. Einen solchen Mechanismus gab es schon unter dem Vorgänger, dem Privacy-Shield. Dabei handelt es sich der Sache nach um eine Selbstverpflichtung zur Einhaltung verschiedener datenschutzrechtlicher Verpflichtungen. Die Zertifizierung des Empfängerunternehmens in den USA müssen die Datenexporteure zuvor überprüfen.

Data Privacy Framework adressiert Kritikpunkte des EuGH

Der Data Privacy Framework schafft weiterhin Garantien zum Datenschutzniveau in Bezug auf staatliche Eingriffe der US-Nachrichtendienste und schafft Rechtsschutzmöglichkeiten dagegen. Dabei adressiert der Data Privacy Framework inhaltlich zahlreiche Kritikpunkte und Anforderungen aus der Schrems II Entscheidung des EuGH zum Privacy Shield.

Wesentliche Prinzipien des Data Privacy Frameworks sind nunmehr ausdrücklich die Erforderlichkeit (necessity) und Verhältnismäßigkeit (proportionality) – zwei Begriffe, die dem europäischen Datenschutzrecht und dem Europarecht immanent sind. Auf dieser Basis werden die Zugriffsrechte der US-Nachrichtendienste auf personenbezogene Daten von EU-Bürgern eingeschränkt. Diese sollen fortan nur im erforderlichen und verhältnismäßigen Umfang auf personenbezogene Daten der EU-Bürger Zugriff nehmen dürfen.
 
Um einer weiteren zentralen Anforderung des EuGH in der Schrems II Entscheidung gerecht zu werden, gibt es nun zudem konkrete Rechtsbehelfsmöglichkeiten für EU-Bürger bei ungerechtfertigtem Zugriff auf ihre Daten durch US-Nachrichtendienste. Der EuGH hatte in der Schrems II Entscheidung seinerzeit unter anderem moniert, dass gegen die Zugriffsrechte der US-Nachrichtendienste effektive Rechtsschutzmöglichkeiten fehlten. Dazu wird ein zweistufiger Mechanismus eingeführt. Auf dessen erster Ebene werden die Beschwerden dem so genannten "Civil Liberties Protection Officer" (CLPO) der US-Nachrichtendienste zugeführt, der diese dann überprüft. Auf zweiter Ebene können EU-Bürger gegen die Entscheidung des CLPO vor dem neuen Datenschutzgericht „Data Protection Review Court“ (DPRC) vorgehen.

Hinzutreten weitere Verpflichtungen an die US-Unternehmen, die sich unter dem Data Privacy Framework zertifizieren wollen.

Ausblick

Es besteht ein neuer Rechtsrahmen für Datentransfers in die USA. Ob dieser ebenfalls zukünftig vor dem EuGH „halten“ wird, wird die Zeit zeigen. Die EU-Kommission zeigt sich betont optimistisch. Trotz der erheblichen Anstrengungen seitens der USA, um die Vorgaben des EuGH zu adressieren, wird weiterhin erhebliche Kritik an dem Abkommen geäußert. Insbesondere die NGO „Noyb“ steht dem Vernehmen nach bereits in den Startlöchern. Daher scheint es nur eine Frage der Zeit zu sein, bis der Data Privacy Framework – genau wie seine Vorgänger – vom EuGH geprüft werden wird.

Für datenexportierende Unternehmen in der EU bedeutet der neue Data Privacy Framework ab jetzt erst einmal eine wesentliche Erleichterung. Denn für einen Datentransfer in die USA muss nun nicht mehr auf alternative Transfermechanismen, wie etwa die EU-Standardvertragsklauseln, abgestellt werden. Entsprechend stellt sich im Rahmen der EU-Standardvertragsklauseln auch nicht mehr die kritische Frage eines Transfer Impact Assessments und der Notwendigkeit von „zusätzlichen Schutzmaßnahmen“. Gleichwohl besteht keine Pflicht zum Wechsel des Transfermechanismus. Unternehmen steht es demnach weiterhin frei, die in Art. 46 ff. DSGVO vorgesehenen alternativen Transfermechanismen zu nutzen.

Zu beachten ist weiterhin, dass der Data Privacy Framework nur Datentransfers in die USA abdeckt. International tätige Unternehmen, die Daten auch in andere Drittländer ohne entsprechenden Angemessenheitsbeschluss übermitteln, müssen für solche Datentransfers somit weiterhin auf alternative Transfermechanismen abstellen. Gerade in weltweiten Konzernstrukturen, bei denen ohnehin bereits entsprechende konzernweite Group Data Transfer Agreements auf Basis von EU-Standardvertragsklauseln oder Binding Corporate Rules bestehen, sind daher erst einmal keine Änderungen zu erwarten.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.