Das European Data Protection Board („EDPB“), das Gremium aus Repräsentanten der nationalen Aufsichtsbehörden der EU, hat eine Stellungnahme zum geplanten Angemessenheitsbeschluss für Datenübermittlungen in die USA veröffentlicht (zu finden unter https://edpb.europa.eu/our-work-tools/our-documents/opinion-art-70/opinion-52023-european-commission-draft-implementing_en).
Um das Ergebnis vorwegzunehmen: die Bewertung ist positiver als erwartet.
Hintergrund
Der Entwurf des Angemessenheitsbeschlusses, der von der Europäischen Kommission am 13. Dezember 2022 veröffentlicht wurde, basiert auf dem EU-US-Datenschutzrahmen (Data Privacy Framework), der das vom EuGH im Urteil Schrems II für ungültig erklärte Privacy Shield ersetzen soll (s. hierzu unser Legal Update […]). Der wichtigste Bestandteil des Data Privacy Framework sind die EU-US-Datenschutzrahmenprinzipien, die vom US-Handelsministerium herausgegeben wurden.
Einschätzung des EDPB
„Ein hohes Datenschutzniveau ist unerlässlich, um die Rechte und Freiheiten der Bürger der EU zu schützen. Wir erkennen zwar an, dass die Verbesserungen des US-Rechtsrahmens erheblich sind, empfehlen aber, auf die geäußerten Bedenken einzugehen und die geforderten Klarstellungen vorzunehmen, um sicherzustellen, dass die Angemessenheitsentscheidung Bestand haben wird. Aus demselben Grund sind wir der Meinung, dass nach der ersten Überprüfung der Angemessenheitsentscheidung weitere Überprüfungen mindestens alle drei Jahre stattfinden sollten, und wir verpflichten uns, zu diesen Überprüfungen beizutragen.", so die EDPB-Vorsitzende Andrea Jelinek.
Auf über 50 Seiten legt das EDPB die Einzelheiten dieser Zusammenfassung dar.
Positiv wird insbesondere gesehen:
- Das EDPB begrüßt die wesentlichen Verbesserungen, die für den Datenschutz durch das Data Privacy Framework für den Datenschutz erreicht wurden. Die Einschränkung der Datenverarbeitung von US-Nachrichtendiensten auf das Notwendige und Verhältnismäßige wird hervorgehoben. Der neue Rechtsbehelfsmechanismus stärkt die Rechte von Betroffenen in der EU.
Kritik äußert das EDPB unter anderem zu Folgendem:
- Die Wirksamkeit der Executive Order 14086 wird von der Umsetzung durch die US-Nachrichtendienste abhängen. Das EDPB ist der Ansicht, dass sowohl die Verabschiedung als auch das Inkrafttreten des Data Privacy Framework von der Verabschiedung der in der Executive Order 14086 genannten Strategien und Verfahren durch alle Nachrichtendienste abhängig gemacht werden sollten.
- Die Komplexität des Werks wird kritisiert; sie kann das Verständnis der betroffenen Akteure (Betroffene, Aufsichtsbehörden etc.) erschweren.
- Der Schutzstandard von Betroffenenrechten und bei automatisierter Entscheidungsfindung ist (noch) nicht ausreichend bzw. erneut zu bewerten.
Ausblick
Die Einschätzung des EDPB ist - auch wenn sie keine echte Bindungswirkung entfaltet – ein wichtiger Schritt, der zur Meinungsbildung beitragen und die Entscheidungsträger beeinflussen wird. Sie dürfte in fachlicher Hinsicht auch schwerer wiegen als die Empfehlung des Ausschusses für bürgerliche Freiheiten, Justiz und innere Angelegenheiten des EU-Parlaments, der sich klar gegen den Angemessenheitsbeschluss positioniert (vgl. https://www.europarl.europa.eu/doceo/document/LIBE-RD-740749_EN.pdf).
Für die Rechtssicherheit, die Unternehmen so dringend benötigen, ist der Angemessenheitsbeschluss von zentraler Bedeutung. Es ist zu hoffen, dass die im Sommer geplante Verabschiedung Wirklichkeit wird.
