Mehr Infos
Menü Zum Kontakt Telefon: +49 6151 - 99 55 0

 

 

 
 
 

 

 

 

Nach fast eineinhalb Jahren Verhandlung hat die EU-Kommission am 13. Dezember 2022 den Entwurf eines Angemessenheitsbeschlusses für den EU-US-Datenschutzrahmen veröffentlicht. Dieser zielt darauf ab, einen sicheren Datenverkehr zwischen der EU und den USA zu fördern und die datenschutzrechtlichen Bedenken auszuräumen, die seit dem Schrems II-Urteil des EuGH bestehen. Wenn der Beschluss in den kommenden Monaten in dieser Form verabschiedet werden sollte, könnten Unternehmen auf Grundlage dieses EU-US-Privacy Framework einfacher und rechtssicher personenbezogene Daten aus der EU in den USA verarbeiten.

 

Das Wichtigste in Kürze

  • Die EU-Kommission kommt zu dem Ergebnis, dass in den USA ein angemessenes Datenschutzniveau nach Art. 45 DSGVO gewährleistet ist.
  • US-Unternehmen, die personenbezogene Daten aus der EU verarbeiten wollen, müssen sich künftig bei der US-Handelsaufsicht registrieren lassen und sich detaillierten Datenschutzpflichten unterwerfen.
  • EU-Bürgern werden verschiedene Rechtsbehelfsmöglichkeiten zur Verfügung gestellt.
  • Nach Abschluss des Annahmeverfahrens kann die EU-Kommission den Angemessenheitsbeschluss endgültig annehmen. Mit einer Verabschiedung dürfte jedoch frühestens im ersten Quartal 2023 zu rechnen sein.

 

Hintergrund

Jede Verarbeitung personenbezogener Daten in der EU unterliegt der Datenschutzgrundverordnung (DSGVO). Sollen personenbezogene Daten aus der EU anschließend im EU-Ausland verarbeitet werden, müssen dort zunächst geeignete Garantien zum Schutz personenbezogener Daten vorhanden sein. Stellt die EU-Kommission im Rahmen einer Prüfung fest, dass im Zielland ein der EU vergleichbares Datenschutzniveau herrscht, kann sie einen Angemessenheitsbeschluss erlassen, auf den sich Unternehmen und andere Organisationen beim Datentransfer stützen können. Im Hinblick auf den EU-US Datentransfer herrschte bisher Rechtsunsicherheit, da es umstritten war, ob in den USA ein der EU-vergleichbares Datenschutzniveau eingehalten werden kann. So erklärte der EuGH bereits die beiden Vorgänger des neuen Angemessenheitsbeschlusses „Safe Harbor“ und „EU-US Privacy Shield“ für ungültig.

 

Langer Weg bis zum aktuellen Entwurf

Nachdem EU und USA seit dem Schrems II-Urteil des EuGH an einer Nachfolgelösung gearbeitet haben, kündigte die EU-Kommission im Frühjahr 2022 den Erlass eines neuen Angemessenheitsbeschlusses bis Ende des Jahres an (Wir berichteten hier.). Schließlich erließ der US-Präsident im Oktober eine Executive Order und ebnete damit der EU-Kommission den Weg für die Verabschiedung eines neuen Angemessenheitsbeschlusses für den EU-US-Datenaustausch.

 

US-Unternehmen müssen sich zur Einhaltung des Schutzniveaus der EU verpflichten

Nun hat die EU-Kommission endlich den Entwurf eines Angemessenheitsbeschlusses veröffentlicht. In seinem Entwurf, der insgesamt 134 Seiten umfasst, berücksichtigt die Kommission die durchgeführte Bewertung des US-Rechtsrahmens und kommt letztlich zu dem Ergebnis, dass dieser ein angemessenes Datenschutzniveau nach Art. 45 DSGVO biete. Im neuen Entwurf ist vorgesehen, dass US-Unternehmen, die personenbezogene Daten aus der EU auf Grundlage des EU-US Privacy Frameworks verarbeiten wollen, sich bei der Handelsaufsicht FTC (Federal Trade Commission) registrieren lassen und detaillierten Datenschutzpflichten unterwerfen müssen. Dazu gehört etwa die Pflicht zur Löschung personenbezogener Daten, nach Wegfall des relevanten Zwecks, für den sie erhoben wurden. Im Falle von Verstößen gegen die Selbstverpflichtung wäre die FTC als Aufsichtsbehörde berechtigt, diese zu sanktionieren. Die Kommission stellte im Entwurf insbesondere fest, dass die neuen Beschränkungen der Executive Order für US-Überwachungsprogramme den EU-Standards entsprechen, indem bei der Datenverarbeitung darauf geachtet wird, dass sie notwendig und verhältnismäßig sein muss. Darüber hinaus verweist die EU-Kommission auf zahlreiche Schreiben von diversen US-Stellen, wie unter anderem der Chefin der US-Handelsaufsicht, des Justizministeriums und des Nachrichtendienstes, aus denen die Zusicherung zur Einhaltung des europäischen Datenschutzniveaus hervorgeht. Weiterhin sollen EU-Bürgern im Falle der Verletzung ihrer Datenschutzrechte verschiedene Rechtsbehelfsmöglichkeiten (u. a. ein unentgeltliches Streitbeilegungsverfahren und eine unabhängige Schiedsstelle) offen stehen.

 

Das Annahmeverfahren – der weitere Weg bis zum Angemessenheitsbeschluss

Der Entwurf befindet sich nun im ersten Schritt des Annahmeverfahrens. Zunächst hat der Europäische Datenschutzausschuss die Möglichkeit zur Abgabe einer Stellungnahme. Zudem müssen die Mitgliedstaaten und die europäischen Datenschutzaufsichtsbehörden zum Entwurf Stellung nehmen. Ein Einspruchsrecht steht den europäischen Datenschutzbehörden jedoch nicht zu. Anders sieht es beim Europaparlament aus. Dieses hat ein Mitberatungsrecht und kann im Rahmen eines Einspruchsverfahren gegen den Entwurf vorgehen. Dies ist allerdings nicht zu erwarten. Nach Abschluss des Verfahrens kann die EU-Kommission den Angemessenheitsbeschluss endgültig annehmen. Mit einer Verabschiedung dürfte frühestens in einigen Monaten zu rechnen sein.

 

 

Ausblick

Insbesondere im Hinblick auf die aktuell vorherrschende Problematik bei der Inanspruchnahme von US-amerikanischen Dienstleistern durch deutsche Unternehmen könnte der neue Angemessenheitsbeschluss Rechtssicherheit schaffen. Aus diesem Grund sind europäische Unternehmen über die Entwicklungen sehr erfreut und hoffen auf eine zeitnahe Verabschiedung des Angemessenheitsbeschlusses. Doch auch US-Unternehmen, die ihre Dienste in der EU anbieten, haben Grund zur Freude. Würde der Angemessenheitsbeschluss nach diesem Entwurf verabschiedet, würde er diesen den Markt in der EU eröffnen. Datenschützer betrachten jedoch auch diesen Entwurf teilweise eher kritisch. Allen voran Datenschutzaktivist Max Schrems und seine NGO „noyb“, die bereits die Vorgängervereinbarungen (Safe Harbor und Privacy Shield) vor dem Europäischen Gerichtshof zu Fall brachten und noch vor Veröffentlichung angekündigt haben, den neuen Entwurf des Angemessenheitsbeschlusses zu prüfen und gegebenenfalls auch gegen diesen vorgehen zu wollen. Schrems vertritt die Ansicht, dass der Entwurf einer Anfechtung vor Gericht nicht standhalten wird, wenn er sich auf die Executive Order stützt. Wie lange ein neuer Angemessenheitsbeschluss folglich in Kraft bleiben wird und ob die Gerichte ihn stützen, bleibt abzuwarten. Zunächst werden Unternehmen ihre EU-US-Datentransfers jedenfalls auf den neuen Angemessenheitsbeschluss stützen können, sofern er tatsächlich verabschiedet wird. Bis zur endgültigen Verabschiedung gilt jedoch auch weiterhin, dass im Falle des transatlantischen Datentransfers geeignete alternative Maßnahmen getroffen werden müssen, wie zum Beispiel der Abschluss von Verträgen unter Berücksichtigung der neuen Standardvertragsklauseln (Wir berichteten hier.).

 

„>

Call Now ButtonKontakt aufnehmen