- Die Europäische Kommission hat am 13.12.2022 einen neuen Angemessenheitsbeschluss initiiert.
- Der Beschluss könnte den transatlantischen Datentransfer zwischen der EU und den USA fördern.
- Der neue Rahmen könnte Unternehmen ermöglichen, personenbezogene Daten aus der EU in die USA zu übermitteln.
- Vorherige Regelungen, wie das Privacy Shield, wurden durch das Schrems-II-Urteil blockiert.
- US-Unternehmen müssen sich bei der FTC registrieren, um am neuen Rahmen teilnehmen zu können.
- Der Europäische Gerichtshof betont, dass effektive Datenschutzmaßnahmen erforderlich sind, nicht unbedingt äquivalente Standards.
- Die finale Fassung des Beschlusses könnte noch rechtlichen Herausforderungen ausgesetzt sein.
Wird der neue Angemessenheitsbeschluss der Europäischen Kommission nun endlich den transatlantischen Datentransfer zwischen den USA und der EU fördern?
Am 13.12.2022 hat die Europäische Kommission ein Verfahren zu dessen Annahme eingeleitet. Damit stützt sie sich auf den von US-Präsident Biden erlassenen Dekret und die von US-Generalstaatsanwalt Garland erlassenen Verordnungen. Nachdem das EU-US-Privacy Shield durch das Schrems-II-Urteil für ungültig erklärt wurde, ist die Übermittlung personenbezogener Daten aus der EU in die USA nicht eindeutig geregelt und deutlich erschwert worden. Der neue Beschluss könnte somit die dritte Chance für eine geregelte Datenströme darstellen. Der Entwurf wurde bereits dem Europäischen Datenschutzausschuss (EDSA) übergeben und muss von den EU-Mitgliedsstaaten noch bestätigt werden. Können wir gespannt sein auf eine Änderung, die für alle Seiten eine Befreiung und mehr Sicherheit bedeutet?
Was ist ein Angemessenheitsbeschluss?
Die Kommission hat die Möglichkeit, nach entsprechender Prüfung das Bestehen eines angemessenen Schutzniveaus in einem bestimmten Drittland festzustellen. Die Feststellung kann auch auf ein bestimmtes Gebiet oder einen bestimmten Sektor in dem Drittland oder auch auf bestimmte Datenkategorien beschränkt sein. Ein angemessenes Schutzniveau besteht dann, wenn in dem Drittland auf Grundlage seiner innerstaatlichen Rechtsvorschriften und deren Anwendung, der Existenz und der wirksamen Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden sowie seiner eingegangenen internationalen Verpflichtungen ein Schutzniveau existiert, welches dem in der Datenschutz-Grundverordnung gewährten Schutzniveau gleichwertig ist.
Eine Datenübermittlung auf Grundlage eines solchen Angemessenheitsbeschlusses bedarf keiner weiteren Genehmigung durch die für den Verantwortlichen oder Auftragsverarbeiter zuständige nationale Aufsichtsbehörde. Die übrigen Anforderungen der Datenschutz-Grundverordnung an die Zulässigkeit von Datenverarbeitung gelten unabhängig davon („Zwei-Stufen-Prüfung“).
Die Datenschutz-Grundverordnung sieht eine Fortgeltung der bereits erlassenen Angemessenheitsbeschlüsse vor (Art. 46 Abs. 5 S. 2 DS-GVO). Solche bestehen für die folgenden Länder:
- Andorra
- Argentinien
- Färöer-Inseln
- Guernsey
- Israel
- Isle of Man
- Japan
- Jersey
- Kanada (nur für kommerzielle Organisationen)
- Neuseeland
- Republik Korea (Südkorea)
- Schweiz
- Uruguay
- Vereinigtes Königreich
Bald wieder Datentransfer in die US möglich?
Gerade für IT-Unternehmen wie SaaS-Anbieter, ist ein ein ständiges Problem, dass ein Transfer von Nutzerdaten in die USA, nach Shrems II nur sehr schwer möglich ist. Es ist daher ein durchaus hoffnungsvoller Moment, dass die EU-Kommission nach fast einem Jahr intensivem Verhandeln den Vorschlag für einen neuen Angemessenheitsbeschluss veröffentlicht hat: 134 Seiten voller Chance, dem US-Datenschutzrecht nach Artikel 45 DSGVO ein angemessenes Maß an Schutz zu geben. Sollte der Beschluss in den kommenden Monaten in Kraft treten, können Unternehmen und Organisationen an das sogenannte EU-US-Data Privacy Framework anknüpfen und personenbezogene Daten aus der EU nach den USA übermitteln.
Der Europäische Gerichtshof (EuGH) hat entschieden, dass für solch einen Beschluss nicht unbedingt ein funktional äquivalenter Datenschutz zum EU-Niveau benötigt wird, dass ein Datenschutz jedoch effektiv umgesetzt sein muss. Dies wiederum konnten die USA, beispielsweise durch den Foreign Surveillance Act, nicht garantieren. Fraglich ist natürlich, ob die Executive Order 14086 von Präsident Joe Biden, dies ändern kann. US-Dienste sollen danach künftig bei ihren Datensammlungen darauf achten, dass diese „notwendig und verhältnismäßig“ sind und bei ihren Datensammlungen besser kontrolliert werden.
Ansonsten soll das neue Privacy Shield wohl ähnlich funktionieren, wie das Alte. Auch diesmal kein Automatismus vorgesehen. US-Unternehmen, die unter das EU-US-Data Privacy Framework schlüpfen wollen, müssen sich bei der Handelsaufsicht FTC registrieren lassen und die damit verbundenen Verpflichtungen akzeptieren.
Es bleibt natürlich abzuwarten, wie sich ein finale Fassung des Beschlusses lesen wird…und bei der unternehmerischen Planung ist dann auch zu beachten, dass es auch gegen einen neuen Angemessenheitsbeschluss sicherlich Klagen geben wird.
