Europäische Kommission legt Entwurf für eine Angemessenheitsentscheidung zum Datenverkehr mit den USA vor.
Hintergrund
Bereits zwei Mal hat der Europäische Gerichtshof nach Klagen des österreichischen Datenschutzaktivisten Max Schrems Vereinbarungen zwischen der Kommission und der US-Regierung zum transatlantischen Datenverkehr gekippt, weil die Zugriffsmöglichkeiten der US-Geheimdienste zu stark in die Grundrechte der Europäer eingreifen.
Nach der „Schrems II“-Entscheidung ist die USA aus Sicht der EU ein unsicheres Drittland. Das bedeutet, dass insbesondere der Einsatz von US-Dienstleistern nur auf der Basis der sogenannten Standardvertragsklauseln und nach der Durchführung einer Transferfolgenabschätzung (TFA) möglich ist. Im Rahmen der TFA ist für die geplante Verarbeitung eine genaue Bewertung der Risiken der Übermittlung von Daten in die USA vorzunehmen und es sind Vorkehrungen gegen den Zugriff der US-Behörden zu treffen. Dieser Vorgang ist für jeden US-Dienstleister getrennt durchzuführen. Für Unternehmen bedeutet dies einen hohen Dokumentations- sowie Anpassungsaufwand.
Bei der neuen Initiative eines EU-U.S. Data Privacy Frameworks handelt es sich nunmehr um den dritten Versuch der Kommission, den Datenaustausch mit den USA zu erleichtern. Der vorliegende Entwurf des Angemessenheitsbeschlusses kommt zu dem Ergebnis, dass das EU-US-Privacy Framework vergleichbare Garantien wie das EU-Datenschutzrecht bietet. Damit wären die USA einem EU-Mitgliedsstaat gleichgestellt und der Datenaustausch unproblematisch möglich.
EU-US-Privacy Framework
Am 13. Dezember 2022 hat die Kommission den Prozess zur Annahme eines Angemessenheitsbeschlusses für das „EU-US-Privacy Framework“ eingeleitet. Zuvor hatte bereits die US-Regierung mit einem Executive Order – einem Präsidialerlass - und ergänzenden Vorschriften der US-Justizbehörde den Weg für das EU-US-Privacy Framework bereitet.
Wie bei den bereits in Schrems I und Schrems II für ungültig erklärten Regelungsmodellen „Safe Harbor“ und „Privacy Shield“ sollen US-Unternehmen dem „EU-US-Privacy Framework“ beitreten können. Sie unterwerfen sich darin einer Reihe von Verpflichtungen zur Einhaltung europäischer Datenschutzstandards vergleichbar mit der DSGVO. Diese Verpflichtungen werden durch Vorgaben zur effektiven Durchsetzung der Betroffenenrechte ergänzt. So gibt es für Betroffene beispielsweise kostenlose Verfahren vor unabhängigen Streitbeilegungsstellen und einem Schiedsgericht.
Geheimdienstzugriffe werden eingeschränkt
Wesentlicher Kritikpunkt des Europäischen Gerichtshofs in Schrems II waren die Zugriffsmöglichkeiten der US-Geheimdienste auf europäische Daten und die fehlende Möglichkeit, einen Zugriff gerichtlich überprüfen zu können. Hierauf reagiert die US-Regierung: Zum einen wird durch den Präsidialerlass 14086 vom 7. Oktober 2022 die Befugnis der Geheimdienste auf Eingriffe beschränkt, die zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig sind. Ferner erhalten Betroffene aus der EU die Möglichkeit, vor einem neu geschaffenen staatlichen Gericht, dem „Data Protection Review Court“, Rechtsmittel gegen die Erhebung und Verwendung ihrer Daten durch US-Geheimdienste einzulegen.
Nächste Schritte
Der Entwurf wird dem Europäischen Datenschutzausschuss (EDPB) zur Stellungnahme übermittelt. Im Anschluss werden die Vertreter der Mitgliedstaaten im Rahmen eines Prüfverfahrens beteiligt. Ferner hat das Europäische Parlament ein Kontrollrecht. Erst nach Durchlaufen aller Schritte dieses Verfahrens kann die Kommission den Angemessenheitsbeschluss erlassen.
Praktische Auswirkungen
Es bleibt abzuwarten, ob und wann die Angemessenheitsentscheidung durch die Kommission getroffen wird. Die politisch Beteiligten auf beiden Seiten des Atlantiks bemühen sich sichtlich um ein schnelles Zustandekommen des EU-US Privacy Framework. Dennoch wird es bestenfalls noch einige Monate dauern, bis der neue Rechtsrahmen für Unternehmen verfügbar ist. Bis dahin bleibt es bei der Anforderung, Standardvertragsklauseln zu vereinbaren und Transferfolgeabschätzungen durchzuführen.
Die zweite und entscheidende Frage wird sein, ob dieser dritte Anlauf einer transatlantischen Vereinbarung über den Datenaustausch vor dem EuGH Bestand haben wird oder ob ein zukünftiges „Schrems III-Urteil“ diese wieder aufhebt. Zahlreiche Stellungnahmen aus Wissenschaft und Praxis haben bereits Zweifel angemeldet, ob den Bedenken des EuGH im neuen Regelwerk ausreichend Rechnung getragen wurde. Immerhin wollen die deutschen Behörden den von den US-Institutionen eingeführten Regelungen – insbesondere zum Data Protection Review Court - eine Chance geben und kündigten eine ergebnisoffene Prüfung an.
Doch auch selbst wenn das EU-US-Privacy Framework eine Grundlage für die Datenübertragung in die USA schaffen wird, sind bei dem Einsatz von US-Anbietern weiterhin inhaltliche Anforderungen der DSGVO zu beachten. Das Verständnis des Datenschutzes ist auf beiden Seiten des Atlantiks noch immer sehr unterschiedlich. Nicht jeder US-Dienstleister trägt den Anforderungen der DSGVO ausreichend Rechnung.
Unternehmen können deshalb auch weiterhin verpflichtet sein, Datenschutzfolgeabschätzungen für risikoreichen Verarbeitungsformen durchzuführen. Ferner bestehen Informationspflichten gegenüber Betroffenen wie Kunden oder Mitarbeitern.
Hierbei unterstützen wir Sie gerne.