Update 10.07.2023: https://d3-datenschutz.com/eu-us-data-privacy-framework/
Ungehinderter Datentransfer in die USA durch Angemessenheitsbeschluss?
Wollen Unternehmen personenbezogene Daten in ein Drittland transferieren, so müssen diese mit dem Empfänger der Daten sogenannte Standardvertragsklauseln abschließen. Das „Schrems II“-Urteil des Gerichtshofs äußerte allerdings Bedenken über die weitreichenden Befugnisse der US-Geheimdienste und dem fehlenden Rechtsschutz für EU-Bürger, wodurch der Beschluss für die USA als rechtswidrig erklärt wurde. Mit dem von der EU Kommission eingeleiteten Verfahren zur Annahme eines Angemessenheitsbeschlusses sollen diese Bedenken nun ausgeräumt werden.
Ausgangssituation
Der Transfer von Daten in Drittländer (EU-Ausland) ist aus Sicht des Datenschutzes nicht immer leicht umsetzbar. Vor allem der Transfer in die USA stellt für Aufsichtsbehörden ein Risiko dar, da die US-Geheimdienste weitreichende rechtliche Möglichkeiten haben um auf die Daten zuzugreifen. Für viele Unternehmen ist ein effektiver globaler Informationsaustausch jedoch unabdingbar. Deshalb stellt die für die Überwachung der Einhaltung der EU-Datenschutzgrundverordnung (DSGVO) zuständige Aufsichtsbehörde hohe Anforderungen an das Schutzniveau der Übermittlung personenbezogener Daten aus der EU in die USA oder andere „Drittländer”.
Bisher konnten Unternehmen mit dem Empfänger der Daten sogenannte Standardvertragsklauseln abschließen. Diese wurden von der EU-Kommission verabschiedet.
Doch inzwischen berufen sich die Behörden auf das erstrittene Urteil des bekannten Datenschutzexperten Max Schrems vom Europäischen Gerichtshof von Juli 2020. In diesem Urteil ging es um die weitreichenden Befugnisse der US-Geheimdienste und dem fehlenden Rechtsschutz für EU-Bürger.
Um diesen Bedenken auszuräumen hat die Europäische Kommission ein Verfahren zur Annahme eines Angemessenheitsbeschlusses eingeleitet und einen Entwurf vorgelegt, der Abhilfe schaffen könnte.
Rechtliche Aspekte
Nach Ansicht der Aufsichtsbehörden müssten Unternehmen vor jedem Datentransfer ein sogenanntes „Transfer Impact Assessment“ (TIA) durchführen. Im Rahmen dieser Vereinbarung muss geprüft werden, welche möglichen Auswirkungen der Transfer von Daten für betroffene Personen hat. Außerdem sollten sie zusätzliche Schutzmaßnahmen, wie beispielsweiße eine möglichst wirksame Verschlüsselung der Daten, umsetzen. Für Unternehmen kann dies einen enormen Aufwand und rechtliche Unsicherheit bedeuten.
Der Digitalverband Bitkom veröffentlichte im September 2022 eine Umfrage, in der Unternehmen gefragt wurden, wie sie mit dieser Thematik umgehen. Die Mehrheit der Befragten gab an, dass im vergangenen Jahr mindestens eines ihrer innovativen Projekte durch diese Unsicherheit im Bereich Datentransfer gescheitert sei.
Die EU-Kommission will dies nun in Zusammenarbeit mit den USA ändern. Die US-Regierung unternahm hierzu bereits erste Schritte, indem der US-Präsident Joe Biden im vergangenen Oktober die „Executive Order“ (unterzeichnete Verfügung) zur Einschränkung der Untersuchungsbefugnisse von US-Geheimdiensten bei der Auswertung von personenbezogenen Daten von EU-Bürgern, unterzeichnete. Zudem soll ein unparteiisches und unabhängiges US-Gericht geschaffen werden, bei dem EU-Bürger, die eine Verletzung ihrer Rechte vermuten, Beschwerde einlegen können. Es werden bei dieser Verfügung zentrale Kritikpunkte des Europäischen Gerichtshofs (EuGH) aufgegriffen.
Die EU-Kommission hat auf Basis dessen ein Verfahren zur Annahme eines sogenannten Angemessenheitsbeschlusses eingeleitet. Für einen ungehinderten und freien Datentransfer in die USA kann ein solcher Beschluss eine eigene Rechtsgrundlage darstellen.
Bedeutung für die Praxis
Wird der Angemessenheitsbeschluss angenommen, können Unternehmen aus der EU grundsätzlich personenbezogene Daten an teilnehmende Unternehmen in den Vereinigten Staaten übermitteln, ohne zusätzliche Datenschutzgarantien einführen zu müssen.
Bis eine endgültige Regelung getroffen wurde, sollten sich Unternehmen jedoch noch in Geduld üben, denn beim weiteren Verfahren sind zusätzlich der Europäische Datenschutzausschuss, die Mitgliedsstaaten und das EU-Parlament beteiligt.
Rechtliche Folgen haben die „Executive Order“ und deren Bewertung aber jetzt schon! Im laufenden Behörden- oder Gerichtsverfahren oder bei der Erstellung der TIAs können Unternehmen argumentieren, dass die Order die Rechtslage für EU-Bürger in den USA bereits erheblich verbessert.
Die vom EuGH in seinem „Schrems II“-Urteil genannten Kritikpunkte greifen deshalb nicht mehr ohne weiteres durch. Die Risiken für Personen, die von einem Datentransfer in die USA betroffen sind, sind nun auf Hinblick des verbesserten Schutzniveaus von Behörden und Gerichten anders zu beurteilen als vor Erlass dieser Order. In laufenden Behörden- oder Gerichtsverfahren sollten Unternehmen dies zu ihrer Verteidigung vorbringen.
Ausblick
Es ist fraglich ob der geplante Angemessenheitsbeschluss der EU-Kommission von Dauer sein wird, da bereits erste Datenschutzexperten, wie der o.g. Max Schrems, angekündigt haben, dass sie diesen Beschluss vor Gericht angreifen werden. Es wird kritisiert, dass die Executive Order die Befugnisse der Sicherheitsbehörden in den USA nicht weit genug einschränkt und das geplante US-Gericht eher als Verwaltungsorgan angesehen werden solle und damit nicht als unabhängig. Mit einer endgültigen Entscheidung des EuGH ist allerdings erst in drei bis fünf Jahren zu rechnen.
Bis dahin können Unternehmen ihre Datentransfers in die USA auf den zu erwartenden Angemessenheitsbeschluss stützen – trotz dessen unsicherer Zukunft. Bis zur möglichen Aufhebung durch den EuGH bildet der Beschluss jedenfalls eine wirksame Rechtsgrundlage für Datentransfers in die USA.
Für weitere Informationen schreiben Sie uns eine kurze E-Mail an anfrage@d3-datenschutz.com oder kontaktieren Sie uns über unser Kontaktformular.
