Kurz nachdem die EU-Kommission im Dezember 2022 ihren Entwurf eines Angemessenheitsbeschlusses für den Drittlanddatentransfer in die USA veröffentlicht hat, haben sich viele Datenschützer kritisch geäußert. Dennoch besteht auf beiden Seiten des Atlantiks weiterhin die Hoffnung, dass im Hinblick auf den EU-US-Datentransfer endlich Rechtssicherheit geschaffen wird. Nun fordert der Ausschuss des EU-Parlaments für bürgerliche Freiheiten, Justiz und Inneres (engl. Committee on Civil Liberties, Justice and Home Affairs, kurz: LIBE) die Kommission in einer aktuellen Stellungnahme nachdrücklich dazu auf, den Entwurf des EU-US Data Privacy Frameworks nicht anzunehmen.

 

Das Wichtigste in Kürze

  • Die EU-Kommission hat im Dezember 2022 den Entwurf eines neuen Angemessenheitsbeschlusses für die Übermittlung personenbezogener Daten in die USA veröffentlicht.
  • Der Ausschuss des Europäischen Parlaments wird die Europäische Kommission in einer Stellungnahme dazu auffordern, den möglichen Angemessenheitsbeschluss auf der Grundlage des vorgeschlagenen EU-US-Datenschutzrahmens nicht anzunehmen.
  • Auch der Europäische Datenschutzausschuss identifiziert verbesserungswürdige Punkte, spricht sich allerdings nicht gegen die Annahme des Entwurfs aus.
  • Die Stellungnahmen des EU-Parlaments und des Europäischen Datenschutzausschusses sind für die EU-Kommission nicht bindend.

 

Betrieb von Facebook Fanpages nicht datenschutzkonform

Unternehmen, öffentliche Stellen oder Personen des öffentlichen Lebens verwenden Facebook Fanpages für die eigene Präsentation auf der Social Media Plattform „Facebook“. Davon abzugrenzen sind die persönlichen Facebook Profile der registrierten Nutzerinnen und Nutzer, die Privatpersonen zugeordnet sind.

Der Betrieb von Facebook Fanpages ist aus datenschutzrechtlicher Sicht problematisch, da Meta als Betreiber des Dienstes „Facebook“ die Daten der Nutzerinnen und Nutzer nicht ausschließlich zum Zweck der Bereitstellung eines sozialen interaktiven Netzwerks verarbeitet, sondern auch zu Werbezwecken. Insoweit fehlt es an einer geeigneten Rechtsgrundlage für die DSGVO-konforme Datenverarbeitung. Die Nutzerdaten dienen dazu, „passgenaue“ Werbung im Auftrag von Unternehmen, Verbänden oder öffentlichen Stellen schalten zu können. Für die Betreiber einer Fanpage besteht ein Interesse an der Verarbeitung personenbezogener Daten der Besucher ihrer Seite, da sie durch dieses Geschäftsmodell den Dienst von Facebook kostenlos nutzen und durch die gezielte Ansprache eines selektiven Nutzerkreises auf ihre Seite aufmerksam machen können. Die Möglichkeit der gezielten Ansprache von Nutzern stellt einen großen Mehrwert dar, den die Betreiber über ihre eigene Internetpräsenz nicht auf diese Weise erreichen können.

 

Hintergrund

Etwa zweieinhalb Jahre nachdem das Privacy Shield durch den EuGH (Urteil vom 16.07.2020, Rs. C 311/18) für ungültig erklärt wurde, hat die EU-Kommission den Entwurf eines neuen Angemessenheitsbeschlusses veröffentlicht, in dem sie gem. Art. 45 DSGVO feststellt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten bietet. Das Trans-Atlantic Data Privacy Framework soll den sicheren Datenverkehr zwischen der EU und den USA fördern und die datenschutzrechtlichen Bedenken ausräumen, die seit dem Schrems II-Urteil des EuGH bestehen. In diesem Urteil stellte der EuGH fest, dass die Zugriffsbefugnisse der US-Geheimdienste zu umfassend sind und entsprechend Art. 52 Charta der Grundrechte (GrCh) auf ein verhältnismäßiges Maß reduziert werden müssen. Zudem haben die Richter festgestellt, dass ein Rechtsbehelfsmechanismus geschaffen werden muss, bevor den USA ein angemessenes Datenschutzniveau attestiert werden kann (mehr dazu lesen Sie hier und hier.).

 

Parlamentarischer Ausschuss spricht sich gegen Annahme des Beschlussentwurfs aus

Der für die Überprüfung des Abkommens zuständige Ausschuss des Europäischen Parlaments kommt zu dem Schluss, dass der aktuelle Entwurf des Datenschutzrahmens im Vergleich zum Vorgängerabkommen (Privacy Shield) zwar Fortschritte erkennen lässt, diese allerdings nicht ausreichend sind, um ein angemessenes Datenschutzniveau zu bejahen. Aus diesem Grund fordert das Gremium die Europäische Kommission in einem Entschließungsentwurf dazu auf, erst dann einen Beschluss zu fassen, wenn die USA geeignete Maßnahmen zum angemessenen Datenschutz ergriffen hat.

In seiner Stellungnahme hebt das Gremium hervor, dass die USA im Gegensatz zu allen anderen Drittländern, für die ein Angemessenheitsbeschluss im Sinne des Art. 45 DSGVO angenommen wurde, noch immer kein einheitliches Datenschutzgesetz vorweisen könne, das bundesweit Anwendung findet. Bei der Executive Order, auf die sich der Angemessenheitsbeschluss der EU-Kommission stützt, handelt es sich um kein Parlamentsgesetz, sondern lediglich um einen Akt der Exekutive, der nach US-Recht vom US-Präsidenten jederzeit geändert oder zurückgenommen werden kann. Daher stellt sich nach Auffassung des Ausschusses bereits die Frage, inwieweit sie tatsächlich ein wirksames Instrument zur Umsetzung der europäischen Datenschutzanforderungen sein kann.

In inhaltlicher Hinsicht stellt der Ausschuss des Europäischen Parlaments – wie zuvor auch andere Kritiker – fest, dass die Executive Order den datenschutzrechtlichen Grundsätzen der Erforderlichkeit und Verhältnismäßigkeit nicht dasselbe Verständnis zugrunde legt wie die DSGVO. In diesem Zusammenhang sei besonders problematisch, dass die Massenerfassung von Daten durch US-Nachrichtendienste auf Grundlage der Executive Order weiterhin möglich bleibt, da sie nicht für Daten gilt, auf die öffentliche Behörden im Rahmen des U.S. Cloud Acts oder des U.S. Patriot Acts zugreifen können. Auch sei das vorgesehene Datenschutz-Überprüfungsgericht weder transparent noch unabhängig und unparteiisch, sodass für EU-Bürger kein effektiver Rechtsschutz gewährleistet sei.

Aus den genannten Gründen kommt das Gremium in seinem Entschließungsentwurf zu dem Ergebnis, dass der EU-US-Datenschutzrahmen nach aktuellem Entwurf kein angemessenes Schutzniveau schafft, und fordert die Kommission auf, den Angemessenheitsbeschluss nicht anzunehmen.

 

EDSA sieht Klärungsbedarf

Auch der Europäische Datenschutzausschuss (kurz: EDSA) hat in seiner ausführlichen Stellungnahme vom 28.02.2023 zum Entwurf des EU-US-Data Privacy Framework Bedenken geäußert (die Stellungnahme finden Sie hier). Darin erkennt das Gremium ebenfalls wesentliche Fortschritte im Hinblick auf den Datenschutz an, weist aber auch darauf hin, dass eine Reihe von Punkten geklärt, weiterentwickelt oder präzisiert werden müssten.

Insbesondere im Hinblick auf die massenhafte Erhebung von Daten (sog. „Bulk Collection“), für die weder eine unabhängige Vorabkontrolle noch eine nachträgliche Überprüfung durch ein Gericht oder eine andere unabhängige Stelle vorgesehen sei, äußert das Gremium Bedenken. Zudem kritisiert der EDSA – wie auch der parlamentarische Ausschuss – den Mangel an Transparenz in dem durch die Executive Order vorgesehene Rechtsschutzverfahren.

Auch wenn das Gremium in Übereinstimmung mit dem LIBE-Ausschuss zahlreiche verbesserungswürdige Punkte nennt, spricht es sich dennoch nicht gegen eine Annahme des Beschlusses durch die EU-Kommission aus. Vielmehr fordert der Ausschuss die Kommission lediglich zu Nachbesserungen auf.

 

Die nächsten Schritte

Der parlamentarische Ausschuss verlangt nun entsprechend Art. 132 Abs. 2 seiner Geschäftsordnung die Annahme seiner Entschließung, die sich gegen den Angemessenheitsbeschluss wendet, durch das Parlament.

Das Europäische Parlament hat jedoch lediglich ein Kontrollrecht im Hinblick auf die Wahrnehmung der Durchführungsbefugnisse der Kommission. Dieses räumt den Mitgliedern des EU-Parlaments die Möglichkeit ein, die Kommission in Form einer Entschließung darauf hinzuweisen, dass der Entwurf des Angemessenheitsbeschlusses ihrer Einschätzung nach die im Basisrechtsakt (hier Art. 45 Abs. 3 DSGVO) vorgesehenen Durchführungsbefugnisse überschreite. In der Folge wäre die Kommission dazu angehalten, ihren Entwurf unter Berücksichtigung der vorgetragenen Kritikpunkte rechtlich neu zu bewerten. Anschließend hätte die Kommission das EU-Parlament darüber zu informieren, ob sie beabsichtigt, den Entwurf beizubehalten, abzuändern oder zurückzuziehen (vgl. Art. 11 VO (EU) 182/2011). Daraus folgt, dass die Kommission den Angemessenheitsbeschluss letztlich unabhängig von der ablehnenden Stellungnahme des EU-Parlaments auf den Weg bringen kann.

Nachdem sich auch der EDSA geäußert hat, muss die EU-Kommission nun im letzten Schritt die Zustimmung eines Ausschusses einholen, der aus Vertretern der Mitgliedstaaten besteht.

Die Stellungnahme des EDSA ist zwar nicht bindend, dürfte aber sowohl die Vertreter der Mitgliedstaaten als auch das Europäische Parlament bei ihren jeweiligen Stellungnahmen beeinflussen.

Für den Fall, dass der Ausschuss der Vertreter der Mitgliedstaaten mehrheitlich eine befürwortende Stellungnahme abgibt, erlässt die Kommission den Angemessenheitsbeschluss. Sofern der Ausschuss eine ablehnende Stellungnahme erteilt, bleibt der Erlass dennoch möglich.

 

 

Fazit

Bisher war die EU-Kommission recht optimistisch und kündigte die Annahme des Beschlusses zum Ablauf der ersten Jahreshälfte 2023 an. Ob es bei diesem Zeitplan bleibt, ist im Hinblick auf die vorliegenden Stellungnahmen des parlamentarischen Ausschusses sowie des EDSA, der einige Punkte geklärt haben möchte, unklar, aber nicht ausgeschlossen. Auch der baden-württembergische Landesbeauftragte für Datenschutz und Informationsfreiheit hat sich in seinem aktuellen Tätigkeitsbericht im Hinblick auf die Grundlage des Angemessenheitsbeschlusses äußerst kritisch geäußert. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Professor Ulrich Kelber, begrüßt demgegenüber die vorgebrachten Kritikpunkte des EDSA und ist der Auffassung, dass mit dem erwarteten EU-US Datenschutzrahmen trotz der geäußerten Bedenken ein wichtiger Beitrag für eine sichere und vertrauenswürdige Drittlanddatenübermittlungen geschaffen wird. Angesichts der Tatsache, dass bereits vor Erlass des Angemessenheitsbeschlusses viel Kritik geäußert wurde, ist damit zu rechnen, dass auch der neue Angemessenheitsbeschluss früher oder später dem EuGH zur Entscheidung vorgelegt wird. Datentransfers in die USA müssen jedenfalls bis zur finalen Verabschiedung des Angemessenheitsbeschlusses durch Abschluss der neuen Standardvertragsklauseln der EU-Kommission abgesichert werden (mehr dazu erfahren Sie hier.). In diesem Zusammenhang müssen – insbesondere aufgrund der datenschutzrechtlichen Rechenschaftspflicht – weiterhin die Risiken internationaler Datentransfers im Unternehmen insgesamt überprüft und gegebenenfalls Abhilfemaßnahmen ergriffen werden.

 

„>

Kontakt aufnehmen