Datenübermittlungen in die USA: Wo steht das neue „EU-US Data Privacy Framework“?

Am 13.12.2022 veröffentlichte die Europäische Kommission den Entwurf eines Angemessenheitsbeschlusses. Er enthält einen neuen Rahmen für den transatlantischen Austausch von personenbezogenen Daten („EU-US Data Privacy Framework“). Derzeit fehlt eine sichere Rechtsgrundlage für den Transfer von personenbezogenen Daten in die USA. Dies hat auch für Energieversorgungsunternehmen, die für die Datenverarbeitung auf Anwendungen namhafter US-Anbieter zurückgreifen, häufig erhebliche rechtliche Risiken zur Folge.

Durch das EU-US Data Privacy Framework sollen die Defizite der vom Europäischen Gerichtshof (EuGH) mit dem Schrems II-Urteil verworfenen Vorgängerübereinkunft („Privacy Shield“) nunmehr ausgebessert und eine neue Rechtsgrundlage für Datentransfers geschaffen werden. Der Europäische Datenschutzausschuss (EDSA), der aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB) besteht, hat zwischenzeitlich zu dem Entwurf Stellung genommen.

Was ist ein Angemessenheitsbeschluss?

Gemäß Art. 45 Abs. 3 DS-GVO kann die Europäische Kommission beschließen, dass ein Drittland (außerhalb der EU und des EWR) ein „angemessenes Schutzniveau“ bietet. Dies umfasst einen Schutz personenbezogener Daten, der dem in der EU gebotenen Schutz der Sache nach gleichwertig ist. Angemessenheitsbeschlüsse haben zur Folge, dass personenbezogene Daten aus der EU in ein Drittland übermittelt werden dürfen, ohne dass es weiterer Schutzmaßnahmen bedarf. Für Datenübermittlungen in die USA hat dies zur Folge, dass eine Datenübermittlung ohne zusätzliche Garantien zulässig ist, sobald das EU-US-Data Privacy Framework angenommen worden ist.

Bewertung des Beschlussentwurfs durch den EDSA

Der Beschlussentwurf der Europäischen Kommission folgte auf Maßnahmen, die die US-Regierung im Oktober 2022 ergriffen hatte. Hierzu gehörte insbesondere die Exekutivverordnung über die Verbesserung der Garantie für US-Signalspionagetätigkeiten (EO 14086). Sie sollte die beiden im Schrems II-Urteil des EuGH genannten Hauptprobleme lösen, nämlich die fehlende Verhältnismäßigkeit und das Fehlen wirksamer Rechtsbehelfe für EU-Bürger*innen in den USA in Bezug auf Überwachungsmaßnahmen.

Der EDSA sieht in diesen Punkten nunmehr wesentliche Verbesserungen. So führe die EO 14086 die Konzepte der Notwendigkeit und Verhältnismäßigkeit in Bezug auf die nachrichtendienstliche Sammlung von Daten durch die USA (Signals Intelligence) ein. Außerdem sehe der neue Rechtsbehelfsmechanismus erstmalig Rechte auch für EU-Bürger*innen vor. Es gebe mehr Garantien für die Unabhängigkeit der Datenschutzüberprüfungsgerichte und wirksamere Befugnisse zum Abstellen von Verstößen. Zudem unterliege der Rechtsbehelfsmechanismus der Überprüfung durch das Privacy and Civil Liberties Oversight Board (PCLOB).

In formaler Hinsicht bemängelt der EDSA, dass aufgrund der Struktur des Beschlussentwurfs mit zahlreichen Anhängen wesentliche Informationen schwer aufzufinden seien. Die Komplexität führe dazu, dass die geschaffenen Grundsätze sowohl für betroffene Personen als auch Unternehmen und Datenschutzbehörden schwer nachvollziehbar seien.

So geht es weiter

Die Europäische Kommission wird nach der Stellungnahme des EDSA im nächsten Schritt die Zustimmung eines Ausschusses einholen, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Darüber hinaus hat das Europäische Parlament ein Recht auf die Kontrolle von Angemessenheitsbeschlüssen. Nach Abschluss dieses Verfahrens kann die Kommission den Angemessenheitsbeschluss annehmen.

Nach der Annahme soll die Funktionsweise des neuen Datenschutzrahmens zukünftig regelmäßig gemeinsam von den zuständigen EU- und US-Behörden überprüft werden. Die erste Überprüfung soll binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses erfolgen, um zu ermitteln, ob alle einschlägigen Elemente des US-Rechtsrahmens vollständig umgesetzt wurden und in der Praxis wirksam funktionieren.

Es besteht die Aussicht, dass mit dem Data Privacy Framework zukünftig wieder eine Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA vorhanden ist. Dies würde Unternehmen ein spürbar höheres Maß an Rechtssicherheit bei der Benutzung weit verbreiteter Anwendungen, bei denen Benutzerdaten (auch) in die USA übermittelt werden, verschaffen. Ob das Data Privacy Framework – anders als das durch das Schrems II-Urteil verworfene Vorgängerabkommen „Privacy Shield“ – einer rechtlichen Prüfung standhalten wird, bleibt abzuwarten. Der Einsatz von Anwendungen, bei denen ein Transfer personenbezogener Daten auch in die USA nicht ausgeschlossen werden kann, ist daher weiter sorgsam rechtlich zu prüfen und abzuwägen.

Ansprechpartner*innen: Thomas Schmeding/Alexander Bartsch/Maximilian Festl-Wietek

Share
Weiterlesen

21 Mai

Der Erste seiner Art: Der AI Act kommt

Nach der Zustimmung durch das Europäische Parlament vom 13.3.2024 hat nun der Rat der Europäischen Union am 21.5.2024 das Gesetz über künstliche Intelligenz („AI Act“) als weltweit ersten umfassenden Rechtsrahmen für das Thema künstliche Intelligenz (KI) verabschiedet. Unternehmen sollten sich...

15 Mai

Kommunalpolitische Initiativen gegen den Stillstand im Straßenverkehrsrecht

Am 24.11.2023 haben neun Bundesländer die als Minimalkompromiss ausgehandelte Novelle des StVG und der StVO auf den letzten Metern gestoppt. Der Vermittlungsausschuss könnte die gescheiterte Reform noch retten – bislang gibt es allerdings noch keinerlei offizielle Verlautbarung, ob und wann...