[Update: Die EU-Kommission hat am 13.12.2022 das Verfahren zur Annahme eines Angemessenheitsbeschlusses für den Datenschutzrahmen EU-USA eingeleitet und einen Entwurf eines Angemessenheitsbeschlusses vorgelegt. Infolgedessen sollen sichere transatlantische Datenströme gefördert und die vom EuGH im „Schrems II“-Urteil geäußerten Bedenken ausgeräumt werden.

Zentrale Aspekte

Zur Sicherstellung der Angemessenheit ist nun vorgesehen, dass sich US-amerikanische Unternehmen dem Datenschutzrahmen zwischen der EU und der USA anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten. Dazu zählt z.B. die Löschung personenbezogener Daten, wenn sie für den ursprünglichen Zweck nicht mehr erforderlich sind sowie die Gewährleistung fortbestehenden Schutzes, wenn personenbezogene Daten an Dritte weitergegeben werden. Zudem sollen EU-Bürgern verschiedene Rechtsbehelfe offenstehen, darunter fällt u.a. ein unentgeltliches Streitbeilegungsverfahren und eine Schiedsstelle.

Darüber hinaus sieht der US-Rechtsrahmen bestimmte Beschränkungen und Garantien in Bezug auf den Zugang von US-Behörden zu Daten vor, insbesondere für Datenzugriffe zum Zwecke der Strafverfolgung und der nationalen Sicherheit. Beispielsweise soll:

  • Der Zugang der US-Nachrichtendienste zu europäischen Daten auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt sein;
  • EU-Bürger sollen im Zusammenhang mit der Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren zurückgreifen können, das auch die Befassung eines neu geschaffenen Gerichts zur Datenschutzüberprüfung einschließt. Dieses Gericht soll etwaige Beschwerden von EU-Bürgerinnen und -Bürgern unabhängig untersuchen und beilegen, unter anderem durch die Anordnung verbindlicher Abhilfemaßnahmen.

Europäische Unternehmen sollen sich auf diese Garantien für transatlantische Datenübermittlungen auch dann verlassen können, wenn sie andere Übermittlungsverfahren wie die Verwendung von Standardvertragsklauseln oder verbindlichen unternehmensinternen Vorschriften nutzen.

Nächste Schritte

Zunächst hat die Kommission ihren Beschlussentwurf dem Europäischen Datenschutzausschuss (EDSA) vorzulegen. Anschließend wird die Kommission die Zustimmung eines Ausschusses einholen, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Darüber hinaus hat das Europäische Parlament ein Recht auf die Kontrolle von Angemessenheitsbeschlüssen. Nach Abschluss dieses Verfahrens kann die Kommission den endgültigen Angemessenheitsbeschluss annehmen. Sobald der Angemessenheitsbeschluss angenommen worden ist, können europäische Unternehmen grundsätzlich personenbezogene Daten an teilnehmende Unternehmen in den Vereinigten Staaten übermitteln, ohne zusätzliche Datenschutzgarantien einführen zu müssen.]

Am 25.3.2022 verkündeten die EU und die USA nach einjähriger, intensiver Verhandlung die Verabschiedung einer neuen Datenschutzübereinkunft, dem sog. „Trans-Atlantic Data Privacy Framework“. Ziel dieses Abkommens ist es, den transatlantischen Datentransfer zu fördern und rechtskonform zu gestalten. Zudem soll der Privatsphäre von EU-Bürgern ausreichend Schutz gewährt werden.

Hintergrund

Am 12.7.2016 trat das sog. „Privacy Shield“-Abkommen in Kraft. Dieser Beschluss der Europäischen Kommission sollte ein angemessenes Datenschutzniveau für die Datenübermittlung in die USA gewährleisten und einen sicheren Rechtsrahmen für Unternehmen schaffen. Der EuGH (Urt. v. 16.7.2020 – C-311/18) erklärte das Abkommen jedoch für ungültig. Er stellte in seinem Urteil klar, dass bei einer Übermittlung personenbezogener Daten in ein Drittland ein Schutzniveau erforderlich sei, das mit dem in der Union vergleichbar ist. Aufgrund der weitreichenden Zugriffmöglichkeiten der US-Sicherheitsbehörden sei in den USA jedoch kein gleichwertiges Schutzniveau gewährleistet. Außerdem eröffne das Abkommen keinen ausreichenden Rechtsschutz für Betroffene.

Rechtsunsicherheit seit EuGH-Urteil zu Privacy Shield

Infolge des EuGH-Urteils herrschte große Rechtsunsicherheit. Ein in der Praxis häufig verwendetes Instrument stellen dabei Garantien gem. Art. 46 DSGVO in Form der EU-Standardvertragsklauseln dar. Unternehmen suchten aus der Datentransferproblematik einen Ausweg und implementierten diese „Vertragsmuster“ innerhalb Ihrer Vertragswerke, um einen Drittstaatentransfers sicherstellen zu können. Allerdings konnten Datenschutzrisiken, bedingt durch die weiten Zugriffsbefugnisse der US-Sicherheitsbehörden, nicht wirksam verhindert werden. Laut EuGH ist im Einzelfall zu prüfen, ob die EU-Standardvertragsklauseln durch weitere Maßnahmen ergänzt werden müssen, damit ein der EU-gleichwertiges Sicherheitsniveau geschaffen wird. Bei einer Datenübermittlung in die USA kann z.B. die Rechtsdurchsetzung/Rechtsmittel durch einen Vertrag zwischen Datenexporteur- und importeur alleinig nicht gewährleistet werden.

Trans Atlantic Data Privacy Framework

Vor diesem Hintergrund haben sich nun die Europäische Kommission und die USA auf das sog. „Trans Atlantic Data Privacy Framework“ verständigt. Diesbezüglich veröffentlichte die EU-Kommission ein Factsheet, welches die wesentlichen Grundsätze des Übereinkommens stichpunktartig aufgreift. Diese Prinzipien verpflichten vor allem die USA und beinhalten nachfolgende Neuerungen:

  • Verbindliche Garantien, um den Zugriff durch US-Sicherheitsbehörden auf Daten zu beschränken, die für die nationale Sicherheit erforderlich sind,
  • Einführung verpflichtender Verfahren für US-Sicherheitsbehörden, um die wirksame Überwachung der neuen Standards zum Schutz der Privatsphäre und der Freiheitsrechte zu gewährleisten, und
  • die Einrichtung eines zweistufigen Rechtsbehelfssystems zur Untersuchung und Beilegung von Beschwerden von Europäern über den Zugang zu Daten durch US-Sicherheitsbehörden, das auch ein unabhängiges Datenschutzüberprüfungsgericht umfasst.

Wie geht es weiter?

Noch gibt es keinen Angemessenheitsbeschluss für die USA. Diese Grundsatzvereinbarung wird nun erst in einen entsprechenden gesetzlichen Rahmen durch die EU und die USA gefasst werden. Anschließend müssen die USA diese Grundsätze in ihrem Recht umsetzen und die EU-Kommission auf dieser Grundlage einen Entwurf für einen Angemessenheitsbeschluss fassen. Hierzu nimmt dann noch der Europäische Datenschutzausschuss Stellung, bevor die Kommission den Beschluss endgültig fasst. Zu welchem Stichtag das Datenschutzabkommen in Kraft treten wird, ist derzeit noch unklar.

Fazit

Das Factsheet gewährt einen ersten Einblick in die wesentlichen Prinzipien, die dem neuen Datenschutzabkommen zugrunde gelegt werden sollen. Eine schnelle Ratifizierung ist vor allem für Unternehmen durchaus wünschenswert. Die in dem Factsheet veröffentlichten Grundsätze geben Hoffnung auf einen rechtskonformen Nachfolger des Privacy Shields, der die Datenübermittlung zwischen EU und USA vereinheitlichen und vereinfachen wird. Trotz der in Aussicht stehenden rechtskonformen Datenübermittlung teilte die Datenschutzorganisation noyb bereits jetzt rechtliche Bedenken mit. Insbesondere Datenaktivist Max Schrems kündigte an, dass bei Unvereinbarkeit mit EU-Recht ein weiteres Verfahren vor dem EuGH durch ihn angestrebt und das Datenschutzabkommen angefochten werde. Inwieweit sich rechtliche Bedenken bestätigen lassen, wird erst zu beurteilen sein, wenn die entsprechenden Gesetzestexte verabschiedet und veröffentlicht werden.

Andrey_Popov/Shutterstock.com

image_pdfPDFimage_printDrucken