Die Europäische Kommission hat das Verfahren zur Annahme eines Angemessenheitsbeschlusses für den Datenschutzrahmen EU-USA eingeleitet und einen Entwurf eines Angemessenheitsbeschlusses vorgelegt. Damit sollen sichere transatlantische Datenströme gefördert und die vom Gerichtshof der Europäischen Union im „Schrems II“-Urteil vom Juli 2020 geäußerten Bedenken ausgeräumt werden.

Hintergrund.

Artikel 45 Abs. 3 DS-GVO eröffnet der Europäischen Kommission die Möglichkeit, im Wege eines Durchführungsrechtsakts beschließen, dass ein „Drittland“ ein "angemessenes Schutzniveau" bietet, das heißt einen Schutz personenbezogener Daten, der dem in der EU gebotenen Schutz der Sache nach gleichwertig ist. Solche Angemessenheitsbeschlüsse haben zur Folge, dass personenbezogene Daten aus der EU in ein „Drittland“ übermittelt werden können, ohne dass es weiterer Schutzmaßnahmen bedarf.

Für die USA bestand ein solcher Beschluss, der aber vom Europäischen Gerichtshof für rechtswidrig erklärt wurde (Rechtssache C-311/18 „Schrems II“), es bestehe in der USA kein der EU entsprechendes, angemessenes Schutzniveau.

In der Folge sind in bilateralen Gesprächen zwischen EU und USA mehrere Maßnahmen erarbeitet worden, um ein solches Schutzniveau sicherzustellen. Erreicht wurde eine Selbstverpflichtung der USA zu Reformen, die den Schutz der Privatsphäre und der bürgerlichen Freiheiten bei der signalerfassenden Aufklärung durch die USA stärken werden.

Zentrale Aspekte des neuen Beschlusses.

Zur Sicherstellung der Angemessenheit ist nun vorgesehen, dass sich US-Unternehmen dem neuen Datenschutzrahmen EU-USA anschließen können, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten.

Eine dieser Datenschutzpflichten ist die Pflicht, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind. Eine andere ist die Pflicht, den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden. Zudem sollen gegebenenfalls allen EU-Bürgerinnen und -Bürgern, deren personenbezogene Daten in einer gegen den Rahmen verstoßenden Art und Weise behandelt werden, verschiedene Rechtsbehelfe offenstehen wie etwa unentgeltliche Streitbeilegungsverfahren und eine Schiedsstelle.

Darüber hinaus sieht der neue US-Rechtsrahmen bestimmte Beschränkungen und Garantien in Bezug auf den Zugang von US-Behörden zu Daten vor, insbesondere für Datenzugriffe zum Zwecke der Strafverfolgung und der nationalen Sicherheit – hier lag ein Schwerpunkt der Kritik im „Schrems II-Urteil.

Nächste Schritte.

Der Entwurf des Angemessenheitsbeschlusses tritt nun den Weg durch die „Brüsseler Mühlen“ an. Zunächst steht eine Bewertung durch den Europäischen Datenschutzausschuss (EDSA) an, dann muss die Zustimmung eines Ausschusses eingeholt werden, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Darüber hinaus hat auch das Europäische Parlament ein Recht auf die Kontrolle von Angemessenheitsbeschlüssen. Nach Abschluss dieses Verfahrens kann die Kommission den dann endgültigen Angemessenheitsbeschluss annehmen.

Sobald der Angemessenheitsbeschluss angenommen worden ist, können europäische Unternehmen grundsätzlich personenbezogene Daten an teilnehmende Unternehmen in den Vereinigten Staaten übermitteln, ohne zusätzliche Datenschutzgarantien einführen zu müssen.

Ausblick.

Die Wirkung und Funktionsweise des aktualisierten Datenschutzrahmens EU-USA soll regelmäßig und gemeinsam von der Europäischen Kommission, den europäischen Datenschutzbehörden sowie den zuständigen US-Behörden überprüft werden – die erste Überprüfung soll noch binnen eines Jahres nach Inkrafttreten erfolgen. Ziel ist es, zu ermitteln, ob alle einschlägigen Elemente des US-Rechtsrahmens vollständig umgesetzt wurden und in der Praxis wirksam funktionieren.

Über diese behördlichen Überprüfungen hinaus wird es sicherlich auch gerichtliche Verfahren geben, die die Einhaltung des EU-Datenschutzes zum Gegenstand haben. Es darf mit Spannung erwartet werden, ob der Europäische Gerichtshof die hier skizzierte Handhabung „absegnet“.

Praxis.

Unternehmen sind wie bisher dringend gehalten, genau zu prüfen, ob bei ihren Datenverarbeitungen Bezug zu Drittländern besteht oder nicht. Ist das nicht der Fall, sind zwingend Maßnahmen er ergreifen, die ein angemessenes Datenschutzniveau sicherstellen.

Werden Daten in den USA verarbeitet, müssen aktuell (die neuen!) Standardvertragsklauseln eingesetzt werden, siehe Blogbeitrag dazu.

Sollte der neue Angemessenheitsbeschluss angenommen werden, kann die Datenverarbeitung grundsätzlich auch darauf gestützt werden - zumindest, solange der Angemessenheitsbeschluss vor Gerichten standhält. Das aktuelle Konstrukt der Selbstverpflichtung von US-Unternehmen ist allerdings mit Vorsicht zu genießen. Offen ist beispielsweise die Frage, inwieweit europäische Unternehmen die Einhaltung der Selbstverpflichtung des US-Unternehmens auditieren müssen – und ob sie sich die entsprechenden Rechte vertraglich sichern müssen. Dies wird wiederum einen Verhandlungsaufwand auslösen. Vor diesem Hintergrund kann es sinnvoll sein, auch weiterhin auf die Standardvertragsklauseln zu setzen und zunächst die auch in den USA fortschreitende Datenschutzmodernisierung weiter abzuwarten.