Der transatlantische Datenschutzrahmen zwischen EU und USA: Aktuelles

In einer Pressemitteilung vom 10.07.2023 gab die Europäische Kommission bekannt, dass sie ihren Angemessenheitsbeschluss für den transatlantischen Datenschutzrahmen EU-USA angenommen hat. Dabei handelt es sich nun um den dritten Anlauf, die USA als sicheres Drittland für die Übertragung von personenbezogenen Daten von EU-Bürger:innen einzustufen.

Der vormals für Datenübermittlungen zwischen den USA und der Europäischen Union geltende Angemessenheitsbeschluss auf Basis des Privacy Shield wurde am 16.07.2020 vom Europäischen Gerichtshof (EuGH) durch das prominente Schrems II-Urteil für ungültig erklärt. Der neue transatlantische Datenschutzrahmen gewährleiste laut Ansicht der EU-Kommission die nötige Sicherheit des Datenverkehrs von EU-Bürger:innen und Unternehmen. Hierfür setzt der Angemessenheitsbeschluss auch auf Selbstverpflichtungen der USA zur Einschränkung des Datenzugriffs durch die US-Geheimdienste, die in der im Oktober 2022 erlassenen Executive Order festgelegt wurden.

Ob das Abkommen nach den Schrems I- und Schrems II-Urteilen des EuGH einer erneuten rechtlichen Prüfung durch den EuGH standhalten würde, bleibt jedoch abzuwarten. So hat Max Schrems mit seiner NGO noyb bereits angekündigt, gegen den Angemessenheitsbeschluss vorzugehen. In diesem Artikel geben wir Antworten auf wichtige Fragen zur sicheren Datenübertragung zwischen der EU und den USA und was sich in Zukunft für die Datenübertragung ändern wird. Unsere Anwält:innen unterstützen Sie bei der Erfüllung der notwendigen Verpflichtungen, um den neuen Anforderungen gerecht zu werden. Bitte zögern Sie nicht, uns zu kontaktieren, wenn Sie weitere Fragen haben.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Hintergrund des transatlantischen Datenschutzrahmens – Nichtigkeit des EU-US Privacy Shield

Der transatlantische Datenschutzrahmen (Trans-Atlantic Data Privacy Framework) ist eine der Folgen des Wegfalls des EU-US Privacy Shields. Im Juli 2020 entschied der Europäische Gerichtshof, dass die USA kein angemessenes Datenschutzniveau für Datentransfers nach Art. 45 DSGVO bieten würden (Az. C-311/18, „Schrems II“-Urteil). Der bis dahin bestehende Angemessenheitsbeschluss gem. Art. 45 DSGVO, der auf Basis des Privacy Shield die Übermittlung von personenbezogenen Daten zwischen der Europäischen Union (EU) und den USA ermöglichte, wurde mit diesem Urteil für ungültig erklärt.

Der EuGH erklärte im Schrems II-Urteil ausdrücklich, dass die damals schon vorhandenen Standardvertragsklauseln (Standard Contractual Clauses – SCC) aufrechtzuerhalten und weiterhin wirksam sind. Der Abschluss von SCC gem. Art. 46 Abs. 1, Abs. 2 lit. c DSGVO war und ist eine Möglichkeit, um Datenübermittlungen in Drittländer vorzunehmen, für die beispielsweise kein Angemessenheitsbeschluss oder die Ausnahmen aus Art. 49 DSGVO bestehen. Dabei können datenverarbeitende Unternehmen mit Sitz in der EU als Datenexporteur:innen die SCC als vorgegebene Musterverträge mit US-Unternehmen als Datenimporteur:innen abschließen.

Etablierung neuer SCC

Der EuGH betonte darüber hinaus auch, dass es die Verantwortung der Datenexporteur:innen sei, für jede Datenübermittlung das Schutzniveau im Drittland zu prüfen und geeignete Garantien für den Schutz der, in ein Drittland übermittelten, Daten vorzusehen. Dabei kann es erforderlich sein, über die SCC hinaus, ergänzende Garantien durch zusätzliche Maßnahmen vorzusehen. Das heißt, die SCC müssen unter Umständen durch weitere organisatorische oder technische Maßnahmen ergänzt werden, sodass der bloße Abschluss der SCC allein nicht zwingend ausreicht.

Daraufhin hat die Europäische Kommission mit dem Beschluss 2021/914/EU neue SCC veröffentlicht. Mit der Neufassung der SCC im Juni 2021 wurden diese unter anderem an die im Schrems II-Urteil aufgestellten Erfordernisse angepasst. Realisiert hat die Europäische Kommission die vom EuGH adressierten Pflichten insbesondere mit der Pflicht zur Durchführung eines Transfer Impact Assessments (TIA), als eine Art „Transfer-Risiko-Abschätzung“. Im Rahmen dieser Prüfung ist zu bewerten, ob die Gesetzgebung im Land der Datenimporteur:innen den in den SCC festgelegten Regelungen gerecht werden. Das TIA dient vorab einer Kontrolle, ob Datenimporteur:innen überhaupt in der Lage sind, die SCC einzuhalten.

Zusätzlich treffen Datenimporteur:innen, im Falle des Zugriffs auf Daten von Behörden im Drittland, Benachrichtigungspflichten gegenüber den Datenexporteur:innen und, wenn möglich, gegenüber der betroffenen Person.

Zwar wurden mit den neuen SCC wichtige vom EuGH geforderte Verpflichtungen aufgenommen, jedoch bleiben große Rechtsunsicherheiten bestehen. Gerade für Datenübermittlungen in die USA hat der Verantwortliche erheblichen Aufwand zu betreiben, der womöglich von Behörden als nicht ausreichend angesehen werden kann. Grund dafür ist die Einzelfallbewertung, ob weitere Maßnahmen vorgesehen werden müssen und wie diese auszusehen haben.

Mit dem neuen transatlantischen Datenschutzrahmens sollen Unternehmen für den Drittlandtransfer in die USA die zum Teil sehr hohen Hürden genommen werden.

Für andere Länder, wie Staaten im arabischen Raum oder China, bleiben die Anforderungen aus den SCC bestehen, soweit nicht daneben die Ausnahmeregelungen des Art. 49 DSGVO eingreifen.


Das könnte Sie auch interessieren:


Zweck und Inhalt des transatlantischen Datenschutzrahmens

Der Zweck des transatlantischen Datenschutzrahmens lag in der Schaffung der Grundlage eines neuen Angemessenheitsbeschlusses. Dieser soll (wieder) die Basis dafür bieten, dass die Daten frei und sicher zwischen der EU und den teilnehmenden US-Unternehmen fließen können – ohne zusätzliche Prüfpflichten für die europäischen Unternehmen. Der transatlantische Datenschutzrahmen stellt selbst noch keinen Angemessenheitsbeschluss dar. Erst durch den Beschluss vom 10.07.2023 wurde er zum Ausgangspunkt für die Übermittlungen nach Art. 45 DSGVO.

Daneben sollen durch die Executive Order 14086 verbindliche Schutzmaßnahmen den Zugriff der US-Geheimdienste beschränken. Der Zugriff der Geheimdienste war einer der Entscheidungsgründe des EuGH für die Ungültigkeit des auf dem Privacy Shield basierenden Angemessenheitsbeschlusses. Der EuGH rügte in seinem Urteil, dass kein Rechtsschutz gegen die Zugriffe durch die US-amerikanischen Sicherheitsbehörden, der den Anforderungen des Art. 47 der EU-Grundrechtecharta genügte, bestünde. Zudem sollten Verfahren für eine effektive Überwachung der Maßnahmen etabliert werden.

Etablierung eines zweistufigen Rechtsbehelfsmechanismus

Der vorgesehene zweistufige Rechtsbehelfsmechanismus ist eine direkte Reaktion auf einen der wesentlichen Entscheidungsgründe des EuGH in der Entscheidung „Schrems II“. Mit der Einrichtung eines zweistufigen, unabhängigen Rechtsbehelfslmechanismus sollen verbindliche Abhilfemaßnahmen bei unrechtmäßigen Aktivitäten der US-Geheimdienste angeordnet werden können. Im Schrems II-Urteil bemängelte der EuGH unter anderem, dass Datenschutzbeschwerden seitens EU-Bürger:innen von einer Stelle entgegengenommen wurden, die dem US-Außenministerium angehörte. Damit war diese Stelle der Exekutive zuzuordnen, wobei gegen Entscheidungen derselben keine unabhängigen Rechtsbehelfezur Verfügung standen. Nun soll ein neuer und unabhängiger „Data Protection Review Court“ eingesetzt werden, der eine zweitinstanzliche Prüfung von Beschwerdeentscheidungen ermöglichen soll.

Einschränkung der Überwachung durch die US-Geheimdienste

Eine Überwachung seitens der US-Behörden ist nur noch möglich, wenn sie aufgrund nationaler Sicherheitsinteressen notwendig und verhältnismäßig sei, heißt es in der Executive Order vom Oktober 2022, die zum 03.07.2023 umgesetzt wurde.

Überwachung von US-Unternehmen hinsichtlich der Einhaltung der Pflichten aus dem transatlantischen Datenschutzrahmen

Weiterhin soll durch eine Selbstzertifizierung der US-Unternehmen beim US-Handelsministerium die Einhaltung der Pflichten aus dem Abkommen bestätigt werden, wozu insbesondere der DSGVO ähnliche Datenschutzpflichten gehören.

Angemessenheitsbeschluss der Europäischen Kommission

Was ist ein Angemessenheitsbeschluss?

Ein Angemessenheitsbeschluss ist eines der Instrumente, die die DSGVO für die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder außerhalb des EWR (sogenannte Drittländer) vorsieht, die nach Auffassung der Kommission ein Datenschutzniveau bieten, das mit dem der Europäischen Union vergleichbar ist.

Bedeutung des Angemessenheitsbeschlusses für Datenexporteur:innen

Nach dem Angemessenheitsbeschluss können personenbezogene Daten auf Grund dieses Beschlusses aus dem EWR, der die 27 EU-Mitgliedstaaten sowie Norwegen, Island und Liechtenstein umfasst, in ein Drittland übermittelt werden, ohne SCC nutzen zu müssen. Mit anderen Worten: Datenübermittlungen in ein Drittland aufgrund eines Angemessenheitsbeschlusses können genauso behandelt werden wie Datenübermittlungen innerhalb des EWR.

Der Angemessenheitsbeschluss für den EU-US Datenschutzrahmen gilt für Datenübermittlungen von jeder öffentlichen oder privaten Stelle im EWR an US-Unternehmen, die am EU-US Datenschutzrahmen teilnehmen. Voraussetzung hierfür ist, dass sich die US-Unternehmen, nach dem transatlantischen Datenschutzrahmen zertifiziert haben.

Kritik an dem neuen transatlantischen Datenschutzrahmen

Insgesamt stellt sich die Frage, ob eine neue beschlossene juristische Grundlage auch vor dem EuGH standhalten würde.
Max Schrems kritisierte mit seiner NGO noyb bereits, dass die „Verhältnismäßigkeit“ vom EUGH und den USA unterschiedlich ausgelegt werden könnte und die neue Executive Order sowie der etablierte Rechtsbehelfsmechanismus keinen hinreichenden Schutz biete für EU-Bürger:innen, deren Daten von US-Geheimdiensten verarbeitet werden.

Was ist jetzt zu tun?

Die Erfüllung der Anforderungen des neuen transatlantischen Datenschutzrahmens kann sich als komplex erweisen, insbesondere angesichts der unsicheren Rechtslage und der laufenden rechtlichen Herausforderungen. Einige Unternehmen werden sich nun die Frage stellen, ob es sinnvoll ist, zukünftig Daten an zertifizierte US-Unternehmen aufgrund des Angemessenheitsbeschlusses zu übermitteln und welche Vorteile es gegenüber anderen Übermittlungsmechanismen hat. Hinzu kommt, welche Risiken hierdurch entstehen und was Datenexporteur:innen hierbei zu beachten haben.

Wir unterstützen Sie bei der Erfüllung aller notwendigen Pflichten, um den Datentransfer zwischen der EU und den USA rechtssicher zu gestalten.

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.