Datentransfer in die USA: Der neue transatlantische Angemessenheitsbeschluss
24. Juli 2023 | IT- und Datenschutzrecht
Nachdem die letzten zwei Abkommen für den transatlantischen Datentransfer durch den EuGH 2015 und 2020 gekippt wurden, hat die EU-Kommission am 10.07.2023 einen neuen Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten zwischen der EU und der USA verabschiedet.
Ein Angemessenheitsbeschluss nach Art. 45 DSGVO stellt rechtsförmlich fest, dass ein bestimmtes Nicht-EU-Land personenbezogene Daten auf einem Schutzniveau schützt, welches den europäischen Standards entspricht bzw. mit diesen gleichwertig ist.
Status Quo – Rechtsunsicherheiten beim transatlantischen Datentransfer
Der Datentransfer in die USA bereitet europäischen Unternehmen seit Jahren Kopfzerbrechen. Bei dem neuen Angemessenheitsbeschluss handelt es sich schon um den dritten Versuch, die Datenübermittlung zwischen der EU und den USA auf ein stabiles Fundament zu stellen, welches den strengen europäischen Datenschutzanforderungen standhält und für die Wirtschaft umsetzbar ist.
Zuletzt erklärte der EuGH in der sog. „Schrems II“-Entscheidung (Urteil vom 16.07.2020 – C-311/18) den Vorläufer „EU-US Privacy Shield“ für unzulässig. Kritisiert wurden insbesondere die weitreichenden Zugriffsmöglichkeiten der US-Geheimdienste auf die Daten von EU-Bürgern.
Nachdem nun die EU-Kommission am 25.03.2022 einen ersten Entwurf für einen neuen „Transatlantischen Datenschutzrahmen“ (Trans-Atlantic Data Privacy Framework – TADPF) veröffentlichte und der US-Präsident Biden eine neue Executive Order „Enhancing Safeguards for United States Signals Intelligence Activities“ unterzeichnete, verabschiedete die EU-Kommission nun am 10.07.2023 den neuen Angemessenheitsbeschluss.
Der neue Angemessenheitsbeschluss
Bei dem Angemessenheitsbeschluss (Art. 45 DSGVO) handelt es sich im Wesentlichen um den leicht abgeänderten Entwurf des TADPF, welcher in vielen Punkten mit dem Privacy Shield übereinstimmt, wobei die Kritikpunkte des EuGH weitestgehend ausgeräumt werden:
- Der amerikanische Geheimdienst darf nur dann auf europäische Daten zugreifen, wenn dies zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.
- Zudem wird ein Gericht zur Überprüfung des Datenschutzes (sog. Data Protection Review Court) eingerichtet, zu dem Einzelpersonen in der EU Zugang haben sollen. Aufgabe des Gerichts soll es sein, eingehenden Beschwerden unabhängig zu untersuchen und etwa durch die Anordnung verbindlicher Abhilfemaßnahmen beizulegen.
Etwas einschränkend umfasst der Beschluss aber nicht automatisch alle US-Unternehmen. Vielmehr ist es erforderlich, zunächst ein Zertifizierungsverfahren zu durchlaufen und sich zur Einhaltung der Datenschutzstandards des TADPF unternehmerisch zu verpflichten. Außerdem müssen die Unternehmen DSGVO-konforme Datenschutzrichtlinien vorlegen. Erst dann können sich die Unternehmen auf den Angemessenheitsbeschluss berufen, sodass der Datentransfer mit der EU rechtssicher möglich ist und die DSGVO-Anforderungen eingehalten werden.
Ausblick
Ob der Angemessenheitsbeschluss in dieser Form Bestand haben wird, bleibt abzuwarten. Der NGO der Datenschutzorganisation Noyb, Max Schrems, kündigte bereits an, gegen den Beschluss vorgehen zu wollen und schon „verschiedene Verfahrensoptionen vorbereitet“ zu haben. Kritikpunkt ist u.a., dass die USA dem Begriff der „Verhältnismäßigkeit“ andere Bedeutung beimesse als die EU. Der EuGH wird sich also in ferner Zukunft mit der neuen Übereinkunft auseinanderzusetzen und zu prüfen haben, ob ein DSGVO-konformes Datenschutzniveau beim transatlantischen Datentransfer besteht. Besonders relevant dürfte für Unternehmen sein, dass der EuGH im Falle eines Verfahrens die Möglichkeit hätte, das neue Abkommen für die Dauer des Verfahrens auszusetzen.
Kritisiert wird außerdem, dass es sich bei dem Angemessenheitsbeschluss nicht um ein förmliches Gesetz, sondern um eine Executive Order handelt, welche von dem US-Präsidenten jederzeit wieder geändert oder aufgehoben werden kann. Dies dürfte gerade im Hinblick auf die anstehenden US-Präsidentschaftswahlen im November 2024 von Bedeutung sein.
Handlungsbedarf für Unternehmen?
Seit dem Aus des EU-US Privacy-Shields stehen Unternehmen vor großen Rechtsunsicherheiten und müssen de facto selber für die Einhaltung der europäischen Datenschutzanforderungen sorgen. Für den transatlantischen Datentransfer sind Unternehmen daher gehalten, insbesondere sog. Standardvertragsklauseln (SCCs) der EU abzuschließen und ein sog. Transfer Impact Assessment (TIA) durchzuführen. Grundsätzlich dürften diese und weitere Sicherungsmaßahmen nach dem Abschluss des Angemessenheitsbeschlusses nicht mehr erforderlich sein. Im Hinblick auf die oben dargestellten Unsicherheiten hinsichtlich des Bestandes des Abkommens sollten Unternehmen jedoch von verfrühten Entscheidungen absehen und im Zweifelsfall auf einen zusätzlichen Schutz mit „doppeltem Boden“ beim Datentransfer setzen. Auch insoweit ist die Datenschutz-Compliance entscheidend.
Wir sind für Sie da!
Unternehmen sind in der Praxis vor die Herausforderung gestellt, ihre datenschutzrechtlichen Pflichten regelkonform und praktikabel umzusetzen. Wir begleiten Sie gerne bei der Beratung, Beurteilung und Analyse Ihrer Fragestellungen und rechtlichen Umsetzung rund um den Datenschutz. Wir stehen Ihnen gerne mit unserer langjährigen Erfahrung im Bereich des Datenschutzes zur Seite.
Sprechen Sie uns gerne an!