18. Oktober 2023Datenschutz

Der transatlantische Datenschutzrahmen zwischen EU und USA: Aktuelles

In einer Pressemitteilung vom 10.07.2023 gab die Europäische Kommission bekannt, dass sie ihren Angemessenheitsbeschluss für den transatlantischen Datenschutzrahmen EU-USA angenommen hat. Dabei handelt es sich nun um den dritten Anlauf, die USA als sicheres Drittland für die Übertragung von personenbezogenen Daten von EU-Bürger:innen einzustufen.

Der vormals für Datenübermittlungen zwischen den USA und der Europäischen Union geltende Angemessenheitsbeschluss auf Basis des Privacy Shield wurde am 16.07.2020 vom Europäischen Gerichtshof (EuGH) durch das prominente Schrems II-Urteil für ungültig erklärt. Der neue transatlantische Datenschutzrahmen gewährleiste laut Ansicht der EU-Kommission die nötige Sicherheit des Datenverkehrs von EU-Bürger:innen und Unternehmen. Hierfür setzt der Angemessenheitsbeschluss auch auf Selbstverpflichtungen der USA zur Einschränkung des Datenzugriffs durch die US-Geheimdienste, die in der im Oktober 2022 erlassenen Executive Order festgelegt wurden. Ob das Abkommen nach den Schrems I- und Schrems II-Urteilen des EuGH einer erneuten rechtlichen Prüfung durch den EuGH standhalten würde, bleibt jedoch abzuwarten.

In diesem Artikel geben wir einen Überblick über alle aktuellen Entwicklungen und Antworten auf wichtige Fragen zum sicheren Datentransfer zwischen der EU und den USA und was sich in Zukunft für den Datentransfer ändern wird. Unsere Anwalt:innen unterstützen Sie bei der Erfüllung der notwendigen Verpflichtungen, um den neuen Anforderungen gerecht zu werden. Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.

Aktuelle Entwicklungen

Nicht einmal zwei Monate nach dem Erlass des neuen Angemessenheitsbeschlusses der EU-Kommission war hiergegen bereits eine erste Verfahren beim Gericht der Europäischen Union (EuG) in Luxemburg anhängig. Das daneben angestrengte Eilverfahren ist jedoch bereits gescheitert (Entscheidung vom 12.10.2023 – Az.: T-553/23-R). Darin beantragte Philippe Latombe, ein französischer Parlamentarier, den Vollzug des Angemessenheitsbeschlusses auszusetzen. 

Aussetzung der Vollziehung der Angemessenheitsentscheidung – Eilverfahren gescheitert

Der Angemessenheitsbeschluss, mit dem festgestellt wurde, dass EU-US-Datenschutzrahmen ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, füge ihm als Nutzer der SaaS-Plattformen Microsoft 365, Google und Doctolib schwere und irreparable Schäden zu. Der Antragssteller argumentierte unter anderem, seine personenbezogenen Daten könnten an in den Vereinigten Staaten ansässige Organisationen übermittelt und von diesen genutzt werden, ohne dass eine weitere Prüfung der Vereinbarkeit mit dem Unionsrecht erforderlich sei. Entgegen den Feststellungen des Angemessenheitsbeschlusses der EU-Kommission würden die Vereinigten Staaten von Amerika kein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Auch würde der Angemessenheitsbeschluss dazu führen, dass er nicht mehr das Recht hätte, sich an die Aufsichtsbehörde zu wenden, damit diese überprüft, ob seine personenbezogenen Daten rechtmäßig in die USA übermittelt werden.

Das EuG kam im Zuge seiner Prüfung zu dem Schluss, der Antragssteller habe die Dringlichkeit der begehrten einstweiligen Maßnahmen nicht glaubhaft gemacht. Er habe nicht dargelegt, warum in seinem speziellen Fall durch die Übermittlung seiner personenbezogenen Daten auf Grundlage des Angemessenheitsbeschlusses ein ernsthafter Schaden entstehen würde, sondern beschränke sich auf allgemeine Ausführungen über die negativen Auswirkungen des Angemessenheitsbeschlusses. Auch sei versäumt worden, Beweise dafür vorzulegen, dass die Verwendung der o.g. SaaS-Anwendungen tatsächlich zu einer Übermittlung seiner Daten führt und genauere Angaben darüber, welche Daten davon betroffen wären. Zudem sei nicht dargelegt worden, inwiefern etwaige Drittstaatenübermittlungen in den vorliegenden Fällen nicht neben dem Angemessenheitsbeschluss auch durch andere gesetzlich vorgesehene Möglichkeiten abgesichert waren (Art. 46 und 49 DSGVO). Im Übrigen habe der Antragssteller weiterhin das Recht, gem. Art. 77 DSGVO Beschwerde bei einer Aufsichtsbehörde einzureichen, wenn er der Ansicht ist, dass die Verarbeitung seiner personenbezogenen Daten gegen die DSGVO verstößt. Der Antragssteller habe vor diesem Hintergrund nicht nachgewiesen, dass er einen schweren Schaden erleiden würde, wenn die Vollstreckung der Angemessenheitsbeschlusses nicht ausgesetzt würde. Das EuG lehnte den Antrag auf Aussetzung der Vollziehung in der Folge ab.

Ein Ende der gerichtlichen Befassung mit dem Angemessenheitsbeschluss ist noch nicht absehbar. Abseits von der noch ausstehenden Entscheidung im entsprechenden Hauptsacheverfahren, hat auch Max Schrems mit seiner NGO noyb bereits angekündigt, gegen den Angemessenheitsbeschluss gerichtlich vorgehen zu wollen. 

Hintergrund des transatlantischen Datenschutzrahmens – Nichtigkeit des EU-US Privacy Shield

Der transatlantische Datenschutzrahmen (Trans-Atlantic Data Privacy Framework) ist eine der Folgen des Wegfalls des EU-US Privacy Shields. Im Juli 2020 entschied der Europäische Gerichtshof, dass die USA kein angemessenes Datenschutzniveau für Datentransfers nach Art. 45 DSGVO bieten würden (Az. C-311/18, „Schrems II“-Urteil). Der bis dahin bestehende Angemessenheitsbeschluss gem. Art. 45 DSGVO, der auf Basis des Privacy Shield die Übermittlung von personenbezogenen Daten zwischen der Europäischen Union (EU) und den USA ermöglichte, wurde mit diesem Urteil für ungültig erklärt.

Der EuGH erklärte im Schrems II-Urteil ausdrücklich, dass die damals schon vorhandenen Standardvertragsklauseln (Standard Contractual Clauses – SCC) aufrechtzuerhalten und weiterhin wirksam sind. Der Abschluss von SCC gem. Art. 46 Abs. 1, Abs. 2 lit. c DSGVO war und ist eine Möglichkeit, um Datenübermittlungen in Drittländer vorzunehmen, für die beispielsweise kein Angemessenheitsbeschluss oder die Ausnahmen aus Art. 49 DSGVO bestehen. Dabei können datenverarbeitende Unternehmen mit Sitz in der EU als Datenexporteur:innen die SCC als vorgegebene Musterverträge mit US-Unternehmen als Datenimporteur:innen abschließen.

Etablierung neuer SCC

Der EuGH betonte darüber hinaus auch, dass es die Verantwortung der Datenexporteur:innen sei, für jede Datenübermittlung das Schutzniveau im Drittland zu prüfen und geeignete Garantien für den Schutz der, in ein Drittland übermittelten, Daten vorzusehen. Dabei kann es erforderlich sein, über die SCC hinaus, ergänzende Garantien durch zusätzliche Maßnahmen vorzusehen. Das heißt, die SCC müssen unter Umständen durch weitere organisatorische oder technische Maßnahmen ergänzt werden, sodass der bloße Abschluss der SCC allein nicht zwingend ausreicht.

Daraufhin hat die Europäische Kommission mit dem Beschluss 2021/914/EU neue SCC veröffentlicht. Mit der Neufassung der SCC im Juni 2021 wurden diese unter anderem an die im Schrems II-Urteil aufgestellten Erfordernisse angepasst. Realisiert hat die Europäische Kommission die vom EuGH adressierten Pflichten insbesondere mit der Pflicht zur Durchführung eines Transfer Impact Assessments (TIA), als eine Art „Transfer-Risiko-Abschätzung“. Im Rahmen dieser Prüfung ist zu bewerten, ob die Gesetzgebung im Land der Datenimporteur:innen den in den SCC festgelegten Regelungen gerecht werden. Das TIA dient vorab einer Kontrolle, ob Datenimporteur:innen überhaupt in der Lage sind, die SCC einzuhalten.

Zusätzlich treffen Datenimporteur:innen, im Falle des Zugriffs auf Daten von Behörden im Drittland, Benachrichtigungspflichten gegenüber den Datenexporteur:innen und, wenn möglich, gegenüber der betroffenen Person.

Zwar wurden mit den neuen SCC wichtige vom EuGH geforderte Verpflichtungen aufgenommen, jedoch bleiben große Rechtsunsicherheiten bestehen. Gerade für Datenübermittlungen in die USA hat der Verantwortliche erheblichen Aufwand zu betreiben, der womöglich von Behörden als nicht ausreichend angesehen werden kann. Grund dafür ist die Einzelfallbewertung, ob weitere Maßnahmen vorgesehen werden müssen und wie diese auszusehen haben.

Mit dem neuen transatlantischen Datenschutzrahmens sollen Unternehmen für den Drittlandtransfer in die USA die zum Teil sehr hohen Hürden genommen werden.

Für andere Länder, wie Staaten im arabischen Raum oder China, bleiben die Anforderungen aus den SCC bestehen, soweit nicht daneben die Ausnahmeregelungen des Art. 49 DSGVO eingreifen.

Das könnte Sie auch interessieren:

Zweck und Inhalt des transatlantischen Datenschutzrahmens

Der Zweck des transatlantischen Datenschutzrahmens lag in der Schaffung der Grundlage eines neuen Angemessenheitsbeschlusses. Dieser soll (wieder) die Basis dafür bieten, dass die Daten frei und sicher zwischen der EU und den teilnehmenden US-Unternehmen fließen können – ohne zusätzliche Prüfpflichten für die europäischen Unternehmen. Der transatlantische Datenschutzrahmen stellt selbst noch keinen Angemessenheitsbeschluss dar. Erst durch den Beschluss vom 10.07.2023 wurde er zum Ausgangspunkt für die Übermittlungen nach Art. 45 DSGVO.

Daneben sollen durch die Executive Order 14086 verbindliche Schutzmaßnahmen den Zugriff der US-Geheimdienste beschränken. Der Zugriff der Geheimdienste war einer der Entscheidungsgründe des EuGH für die Ungültigkeit des auf dem Privacy Shield basierenden Angemessenheitsbeschlusses. Der EuGH rügte in seinem Urteil, dass kein Rechtsschutz gegen die Zugriffe durch die US-amerikanischen Sicherheitsbehörden, der den Anforderungen des Art. 47 der EU-Grundrechtecharta genügte, bestünde. Zudem sollten Verfahren für eine effektive Überwachung der Maßnahmen etabliert werden.

Etablierung eines zweistufigen Rechtsbehelfsmechanismus

Der vorgesehene zweistufige Rechtsbehelfsmechanismus ist eine direkte Reaktion auf einen der wesentlichen Entscheidungsgründe des EuGH in der Entscheidung „Schrems II“. Mit der Einrichtung eines zweistufigen, unabhängigen Rechtsbehelfslmechanismus sollen verbindliche Abhilfemaßnahmen bei unrechtmäßigen Aktivitäten der US-Geheimdienste angeordnet werden können. Im Schrems II-Urteil bemängelte der EuGH unter anderem, dass Datenschutzbeschwerden seitens EU-Bürger:innen von einer Stelle entgegengenommen wurden, die dem US-Außenministerium angehörte. Damit war diese Stelle der Exekutive zuzuordnen, wobei gegen Entscheidungen derselben keine unabhängigen Rechtsbehelfezur Verfügung standen. Nun soll ein neuer und unabhängiger „Data Protection Review Court“ eingesetzt werden, der eine zweitinstanzliche Prüfung von Beschwerdeentscheidungen ermöglichen soll.

Einschränkung der Überwachung durch die US-Geheimdienste

Eine Überwachung seitens der US-Behörden ist nur noch möglich, wenn sie aufgrund nationaler Sicherheitsinteressen notwendig und verhältnismäßig sei, heißt es in der Executive Order vom Oktober 2022, die zum 03.07.2023 umgesetzt wurde.

Überwachung von US-Unternehmen hinsichtlich der Einhaltung der Pflichten aus dem transatlantischen Datenschutzrahmen

Weiterhin soll durch eine Selbstzertifizierung der US-Unternehmen beim US-Handelsministerium die Einhaltung der Pflichten aus dem Abkommen bestätigt werden, wozu insbesondere der DSGVO ähnliche Datenschutzpflichten gehören.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Angemessenheitsbeschluss der Europäischen Kommission

Was ist ein Angemessenheitsbeschluss?

Ein Angemessenheitsbeschluss ist eines der Instrumente, die die DSGVO für die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder außerhalb des EWR (sogenannte Drittländer) vorsieht, die nach Auffassung der Kommission ein Datenschutzniveau bieten, das mit dem der Europäischen Union vergleichbar ist.

Bedeutung des Angemessenheitsbeschlusses für Datenexporteur:innen

Nach dem Angemessenheitsbeschluss können personenbezogene Daten auf Grund dieses Beschlusses aus dem EWR, der die 27 EU-Mitgliedstaaten sowie Norwegen, Island und Liechtenstein umfasst, in ein Drittland übermittelt werden, ohne SCC nutzen zu müssen. Mit anderen Worten: Datenübermittlungen in ein Drittland aufgrund eines Angemessenheitsbeschlusses können genauso behandelt werden wie Datenübermittlungen innerhalb des EWR.

Der Angemessenheitsbeschluss für den EU-US Datenschutzrahmen gilt für Datenübermittlungen von jeder öffentlichen oder privaten Stelle im EWR an US-Unternehmen, die am EU-US Datenschutzrahmen teilnehmen. Voraussetzung hierfür ist, dass sich die US-Unternehmen, nach dem transatlantischen Datenschutzrahmen zertifiziert haben.

Kritik an dem neuen transatlantischen Datenschutzrahmen

Insgesamt stellt sich die Frage, ob eine neue beschlossene juristische Grundlage auch vor dem EuGH standhalten würde.
Max Schrems kritisierte mit seiner NGO noyb bereits, dass die „Verhältnismäßigkeit“ vom EUGH und den USA unterschiedlich ausgelegt werden könnte und die neue Executive Order sowie der etablierte Rechtsbehelfsmechanismus keinen hinreichenden Schutz biete für EU-Bürger:innen, deren Daten von US-Geheimdiensten verarbeitet werden.

Was ist jetzt zu tun?

Die Erfüllung der Anforderungen des neuen transatlantischen Datenschutzrahmens kann sich als komplex erweisen, insbesondere angesichts der unsicheren Rechtslage und der laufenden rechtlichen Herausforderungen. Einige Unternehmen werden sich nun die Frage stellen, ob es sinnvoll ist, zukünftig Daten an zertifizierte US-Unternehmen aufgrund des Angemessenheitsbeschlusses zu übermitteln und welche Vorteile es gegenüber anderen Übermittlungsmechanismen hat. Hinzu kommt, welche Risiken hierdurch entstehen und was Datenexporteur:innen hierbei zu beachten haben.

Wir unterstützen Sie bei der Erfüllung aller notwendigen Pflichten, um den Datentransfer zwischen der EU und den USA rechtssicher zu gestalten.

Kontaktieren Sie uns jetzt!
nach oben
Mehr zum Thema

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

KG Berlin: Immaterielle Schadensersatzansprüche aus Art. 82 DSGVO müssen konkret dargelegt werden

Jetzt lesen

BGH stellt EuGH bedeutende Fragen zum Unterlassungsanspruch und immateriellem Schadensersatz nach DSGVO

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.