Datenübermittlungen in die USA: Wo steht das neue „EU-US Data Privacy Framework“?

6. April 2023

Am 13.12.2022 veröffentlichte die Europäische Kommission den Entwurf eines Angemessenheitsbeschlusses. Er enthält einen neuen Rahmen für den transatlantischen Austausch von personenbezogenen Daten („EU-US Data Privacy Framework“). Derzeit fehlt eine sichere Rechtsgrundlage für den Transfer von personenbezogenen Daten in die USA. Dies hat auch für Energieversorgungsunternehmen, die für die Datenverarbeitung auf Anwendungen namhafter US-Anbieter zurückgreifen, häufig erhebliche rechtliche Risiken zur Folge.

Durch das EU-US Data Privacy Framework sollen die Defizite der vom Europäischen Gerichtshof (EuGH) mit dem Schrems II-Urteil verworfenen Vorgängerübereinkunft („Privacy Shield“) nunmehr ausgebessert und eine neue Rechtsgrundlage für Datentransfers geschaffen werden. Der Europäische Datenschutzausschuss (EDSA), der aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB) besteht, hat zwischenzeitlich zu dem Entwurf Stellung genommen.

Was ist ein Angemessenheitsbeschluss?

Gemäß Art. 45 Abs. 3 DS-GVO kann die Europäische Kommission beschließen, dass ein Drittland (außerhalb der EU und des EWR) ein „angemessenes Schutzniveau“ bietet. Dies umfasst einen Schutz personenbezogener Daten, der dem in der EU gebotenen Schutz der Sache nach gleichwertig ist. Angemessenheitsbeschlüsse haben zur Folge, dass personenbezogene Daten aus der EU in ein Drittland übermittelt werden dürfen, ohne dass es weiterer Schutzmaßnahmen bedarf. Für Datenübermittlungen in die USA hat dies zur Folge, dass eine Datenübermittlung ohne zusätzliche Garantien zulässig ist, sobald das EU-US-Data Privacy Framework angenommen worden ist.

Bewertung des Beschlussentwurfs durch den EDSA

Der Beschlussentwurf der Europäischen Kommission folgte auf Maßnahmen, die die US-Regierung im Oktober 2022 ergriffen hatte. Hierzu gehörte insbesondere die Exekutivverordnung über die Verbesserung der Garantie für US-Signalspionagetätigkeiten (EO 14086). Sie sollte die beiden im Schrems II-Urteil des EuGH genannten Hauptprobleme lösen, nämlich die fehlende Verhältnismäßigkeit und das Fehlen wirksamer Rechtsbehelfe für EU-Bürger*innen in den USA in Bezug auf Überwachungsmaßnahmen.

Der EDSA sieht in diesen Punkten nunmehr wesentliche Verbesserungen. So führe die EO 14086 die Konzepte der Notwendigkeit und Verhältnismäßigkeit in Bezug auf die nachrichtendienstliche Sammlung von Daten durch die USA (Signals Intelligence) ein. Außerdem sehe der neue Rechtsbehelfsmechanismus erstmalig Rechte auch für EU-Bürger*innen vor. Es gebe mehr Garantien für die Unabhängigkeit der Datenschutzüberprüfungsgerichte und wirksamere Befugnisse zum Abstellen von Verstößen. Zudem unterliege der Rechtsbehelfsmechanismus der Überprüfung durch das Privacy and Civil Liberties Oversight Board (PCLOB).

In formaler Hinsicht bemängelt der EDSA, dass aufgrund der Struktur des Beschlussentwurfs mit zahlreichen Anhängen wesentliche Informationen schwer aufzufinden seien. Die Komplexität führe dazu, dass die geschaffenen Grundsätze sowohl für betroffene Personen als auch Unternehmen und Datenschutzbehörden schwer nachvollziehbar seien.

So geht es weiter

Die Europäische Kommission wird nach der Stellungnahme des EDSA im nächsten Schritt die Zustimmung eines Ausschusses einholen, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Darüber hinaus hat das Europäische Parlament ein Recht auf die Kontrolle von Angemessenheitsbeschlüssen. Nach Abschluss dieses Verfahrens kann die Kommission den Angemessenheitsbeschluss annehmen.

Nach der Annahme soll die Funktionsweise des neuen Datenschutzrahmens zukünftig regelmäßig gemeinsam von den zuständigen EU- und US-Behörden überprüft werden. Die erste Überprüfung soll binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses erfolgen, um zu ermitteln, ob alle einschlägigen Elemente des US-Rechtsrahmens vollständig umgesetzt wurden und in der Praxis wirksam funktionieren.

Es besteht die Aussicht, dass mit dem Data Privacy Framework zukünftig wieder eine Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA vorhanden ist. Dies würde Unternehmen ein spürbar höheres Maß an Rechtssicherheit bei der Benutzung weit verbreiteter Anwendungen, bei denen Benutzerdaten (auch) in die USA übermittelt werden, verschaffen. Ob das Data Privacy Framework – anders als das durch das Schrems II-Urteil verworfene Vorgängerabkommen „Privacy Shield“ – einer rechtlichen Prüfung standhalten wird, bleibt abzuwarten. Der Einsatz von Anwendungen, bei denen ein Transfer personenbezogener Daten auch in die USA nicht ausgeschlossen werden kann, ist daher weiter sorgsam rechtlich zu prüfen und abzuwägen.

Ansprechpartner*innen: Thomas Schmeding/Alexander Bartsch/Maximilian Festl-Wietek

Share
Weiterlesen

15 April

Masterplan Geothermie für NRW: Startschuss für Förderprogramm zur Risikoabsicherung hydrothermaler Geothermie

Am 8.4.2024 hat das Ministerium für Wirtschaft, Industrie, Klimaschutz und Energie NRW den Masterplan Geothermie für NRW veröffentlicht. Als erste Maßnahme ging zeitgleich ein Förderinstrument zur Absicherung des Fündigkeitsrisiko als zentrales Hemmnis für Vorhaben mitteltiefer und tiefer geothermischer Systeme an...

Weiterlesen

11 April

Doppelschlag des VG Köln: Rechtswidrige Glasfaser-Zugangsentgelte und sofortiger Zugang zu Kabelkanalanlagen der Telekom

Mit gleich zwei Beschlüssen sorgt das Verwaltungsgericht Köln für Aufmerksamkeit: Zum einen hat es die Entscheidung der Bundesnetzagentur (BNetzA) über Glasfaser-Zugangsentgelte in Fördergebieten für rechtswidrig erklärt und zum anderen die Telekom dazu verpflichtet, sofort Zugang zu ihren Kabelkanalanlagen zu gewähren....

Weiterlesen