Neuer Angemessenheitsbeschluss für EU-US-Datentransfer in Kraft

Neuer Angemessenheitsbeschluss für EU-US-Datentransfer in Kraft
Neuer Angemessenheitsbeschluss für Datentransfer in die USA

EU-Kommission hat einen neuen Angemessenheitsbeschluss für Datenübermittlungen in die USA beschlossen; Damit sind Datenübermittlungen in die USA, zumindest vorerst einmal, aus datenschutzrechtlicher Sicht nicht mehr grundsätzlich zu beanstanden; Verantwortliche müssen vor Übermittlung der personenbezogenen Daten überprüfen, ob Empfänger in den USA tatsächlich unter dem EU-U.S. Data Privacy Framework zertifiziert sind;

Die Europäische Kommission hat am 10. Juli 20233 ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA [1] angenommen. In dem Beschluss wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten sicher aus der EU an US-Unternehmen übermittelt werden, die am Rahmen teilnehmen, ohne dass zusätzliche Datenschutzgarantien eingeführt werden müssen.

Solange der Angemessenheitsbeschluss in Kraft ist, sind Datenübermittlungen an US-Unternehmen, die unter dem EU-U.S. Data Privacy Framework zertifiziert sind, aus datenschutzrechtlicher Sicht nicht mehr zu beanstanden.

Neue verbindliche Garantien für Datenschutztransfers

Mit dem Datenschutzrahmen EU-USA werden neue verbindliche Garantien eingeführt, um allen vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen; so ist vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist und ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen wird, zu dem Einzelpersonen in der EU Zugang haben.

Die von den Vereinigten Staaten eingeführten Garantien werden zudem den transatlantischen Datenverkehr generell erleichtern, da sie auch für die Übermittlung von Daten unter Verwendung anderer Instrumente wie Standardvertragsklauseln und verbindliche unternehmensinterne Vorschriften gelten.

US-Unternehmen müssen sich dem Datenschutzrahmen erst anschließen

US-Unternehmen können sich dem Datenschutzrahmen EU-USA anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten, darunter beispielsweise die Pflichten, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.

Die Zertifizierungsliste wird vom US-Handelsministerium verwaltet, das Zertifizierungsanträge bearbeitet und überwacht, ob teilnehmende Unternehmen weiterhin die Zertifizierungsanforderungen erfüllen.

Regelmäßige Überprüfung der Funktionsweise geplant

Die Funktionsweise des Datenschutzrahmens EU-USA soll regelmäßig gemeinsam von der Europäischen Kommission und Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden überprüft werden.

Die erste Überprüfung soll binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses erfolgen, um zu ermitteln, ob alle einschlägigen Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.

Es bleibt abzuwarten ob der neue Angemessenheitsbeschluss einer Überprüfung durch den EuGH standhalten wird. Bereits jetzt gibt es eine Reihe von Kritikern, deren Argumente ein zukünftiges Scheitern des Datenschutzrahmens vor dem EuGH denkbar erscheinen lassen.

Anmerkungen

  • Der neue Angemessenheitsbeschluss erleichtert, zumindest vorerst, die Übermittlung von personenbezogenen Daten in die USA für Verantwortliche spürbar;

  • Dennoch ist zu befürchten, dass der EuGH die Rechtmässigkeit der Übermittlungen erneut in Frage stellen wird und, gegebenenfalls, erneut die Übermittlung von personenbezogenen Daten in die USA für unrechtmäßig erklärt;

  • Angesichts der damit, zumindest mittelfristig, erneut drohenden Unsicherheiten bei der Übermittlung von personenbezogenen Daten in die USA erscheint es sinnvoll, verstärkt auf europäische Anbieter bzw US-Anbieter mit rein europäischen Lösungen zu setzen.

  • Bei geplanten Datenübermittlungen an US-Unternehmen ist vorab zu prüfen, ob diese tatsächlich unter dem neuen Datenschutzrahmen zertifiziert sind.

  • Unabhängig von der weiteren rechtlichen Entwicklung bei Datenübermittlungen in die USA, bleiben Drittstaatenübermittlungen wie zB nach China oder Indien weiterhin eine Herausforderung.


[1] Adequacy decision for the EU-US Data Privacy Framework, URL: https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en (Englische Version);

{2] Questions & Answers: EU-US Data Privacy Framework, https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752;