Kommt 2023 ein neues Privacy Shield?

Wird der neue Angemessenheitsbeschluss der Europäischen Kommission nun endlich den transatlantischen Datentransfer zwischen den USA und der EU fördern?

Am 13.12.2022 hat die Europäische Kommission ein Verfahren zu dessen Annahme eingeleitet. Damit stützt sie sich auf den von US-Präsident Biden erlassenen Dekret und die von US-Generalstaatsanwalt Garland erlassenen Verordnungen. Nachdem das EU-US-Privacy Shield durch das Schrems-II-Urteil für ungültig erklärt wurde, ist die Übermittlung personenbezogener Daten aus der EU in die USA nicht eindeutig geregelt und deutlich erschwert worden. Der neue Beschluss könnte somit die dritte Chance für eine geregelte Datenströme darstellen.  Der Entwurf wurde bereits dem Europäischen Datenschutzausschuss (EDSA) übergeben und muss von den EU-Mitgliedsstaaten noch bestätigt werden. Können wir gespannt sein auf eine Änderung, die für alle Seiten eine Befreiung und mehr Sicherheit bedeutet?

Was ist ein Angemessenheitsbeschluss?

Die Kommission hat die Möglichkeit, nach entsprechender Prüfung das Bestehen eines angemessenen Schutzniveaus in einem bestimmten Drittland festzustellen. Die Feststellung kann auch auf ein bestimmtes Gebiet oder einen bestimmten Sektor in dem Drittland oder auch auf bestimmte Datenkategorien beschränkt sein. Ein angemessenes Schutzniveau besteht dann, wenn in dem Drittland auf Grundlage seiner innerstaatlichen Rechtsvorschriften und deren Anwendung, der Existenz und der wirksamen Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden sowie seiner eingegangenen internationalen Verpflichtungen ein Schutzniveau existiert, welches dem in der Datenschutz-Grundverordnung gewährten Schutzniveau gleichwertig ist.

Eine Datenübermittlung auf Grundlage eines solchen Angemessenheitsbeschlusses bedarf keiner weiteren Genehmigung durch die für den Verantwortlichen oder Auftragsverarbeiter zuständige nationale Aufsichtsbehörde. Die übrigen Anforderungen der Datenschutz-Grundverordnung an die Zulässigkeit von Datenverarbeitung gelten unabhängig davon („Zwei-Stufen-Prüfung“).

Die Datenschutz-Grundverordnung sieht eine Fortgeltung der bereits erlassenen Angemessenheitsbeschlüsse vor (Art. 46 Abs. 5 S. 2 DS-GVO). Solche bestehen für die folgenden Länder:

• Andorra
• Argentinien
• Färöer-Inseln
• Guernsey
• Israel
• Isle of Man
• Japan
• Jersey
• Kanada (nur für kommerzielle Organisationen)
• Neuseeland
• Republik Korea (Südkorea)
• Schweiz
• Uruguay
• Vereinigtes Königreich

Bald wieder Datentransfer in die US möglich?

Gerade für IT-Unternehmen wie SaaS-Anbieter, ist ein ein ständiges Problem, dass ein Transfer von Nutzerdaten in die USA, nach Shrems II nur sehr schwer möglich ist. Es ist daher ein durchaus hoffnungsvoller Moment, dass die EU-Kommission nach fast einem Jahr intensivem Verhandeln den Vorschlag für einen neuen Angemessenheitsbeschluss veröffentlicht hat: 134 Seiten voller Chance, dem US-Datenschutzrecht nach Artikel 45 DSGVO ein angemessenes Maß an Schutz zu geben. Sollte der Beschluss in den kommenden Monaten in Kraft treten, können Unternehmen und Organisationen an das sogenannte EU-US-Data Privacy Framework anknüpfen und personenbezogene Daten aus der EU nach den USA übermitteln. 

Der Europäische Gerichtshof (EuGH) hat entschieden, dass für solch einen Beschluss nicht unbedingt ein funktional äquivalenter Datenschutz zum EU-Niveau benötigt wird, dass ein Datenschutz jedoch effektiv umgesetzt sein muss. Dies wiederum konnten die USA, beispielsweise durch den Foreign Surveillance Act, nicht garantieren. Fraglich ist natürlich, ob die Executive Order 14086 von Präsident Joe Biden, dies ändern kann. US-Dienste  sollen danach künftig bei ihren Datensammlungen darauf achten, dass diese „notwendig und verhältnismäßig“ sind und bei ihren Datensammlungen besser kontrolliert werden. 

Ansonsten soll das neue Privacy Shield wohl ähnlich funktionieren, wie das Alte. Auch diesmal kein Automatismus vorgesehen. US-Unternehmen, die unter das EU-US-Data Privacy Framework schlüpfen wollen, müssen sich bei der Handelsaufsicht FTC registrieren lassen und die damit verbundenen Verpflichtungen akzeptieren.

Es bleibt natürlich abzuwarten, wie sich ein finale Fassung des Beschlusses lesen wird…und bei der unternehmerischen Planung ist dann auch zu beachten, dass es auch gegen einen neuen Angemessenheitsbeschluss sicherlich Klagen geben wird.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.