Die Europäische Kommission hat Mitte Dezember 2022 den Entwurf eines Angemessenheitsbeschlusses für die Übermittlung personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ veröffentlicht. Nach Auffassung der Kommission gewährleisten die USA ein angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten, die aus der EU an in den Vereinigten Staaten ansässige Unternehmen übermittelt werden. Sobald der Angemessenheitsbeschluss von den EU-Mitgliedstaaten angenommen wurde, ist der transatlantische Datentransfer ohne eine umfangreiche und komplexe Bewertung des in den USA bestehenden Datenschutzniveaus möglich.
Hintergrund
Die Übermittlung von personenbezogenen Daten in Länder außerhalb der EU ist nur auf der Grundlage geeigneter Datenschutzgarantien zulässig. Taugliche Garantien in diesem Sinn stellen die sog. Angemessenheitsbeschlüsse dar. Dabei handelt es sich – vereinfacht ausgedrückt – um Bestätigungen der Europäischen Kommission, dass ein betreffendes Land ein „angemessenes (Daten-)Schutzniveau“ bietet. Sie haben zur Folge, dass der Datentransfer aus der EU in dieses Land erfolgen kann, ohne dass es weiterer Schutzmaßnahmen oder Zustimmungen der jeweiligen nationalen Aufsichtsbehörde bedarf.
In seiner viel beachteten Entscheidung „Schrems II“ erklärte der Europäische Gerichtshof im Jahr 2020 den vorherigen Angemessenheitsbeschluss zum „EU-US Privacy Shield“ für ungültig. Die Kommission und die US-Regierung sahen sich deshalb dazu veranlasst, Verhandlungen über einen neuen Rahmen zu führen.
Im März 2022 verkündeten die Europäische Kommission und die Vereinigten Staaten eine grundsätzliche Einigung über einen neuen „EU-US Datenschutzrahmen“. Im Oktober 2022 unterzeichnete Präsident Biden ein entsprechendes Dekret (Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities). Dieses setzt die von den USA eingegangenen Verpflichtungen in US-amerikanisches Recht um. Am selben Tag kündigte die Europäische Kommission an, auf Grundlage des US-Dekrets einen Angemessenheitsbeschluss vorzubereiten, sowie das Verfahren zu dessen Annahme einzuleiten.
Zentrale Aspekte des Entwurfs
US-Unternehmen können sich dem „EU-US Datenschutzrahmen“ anschließen, indem sie die Einhaltung detaillierter Datenschutzpflichten zusagen. Hierzu gehört insbesondere die Pflicht, personenbezogene Daten zu löschen, sobald sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind. Außerdem sollen die Verpflichtungen zum Schutz personenbezogener Daten auch bei der Übermittlung der Daten an Dritte gelten. Darüber hinaus sieht der US-Rechtsrahmen Beschränkungen und Garantien in Bezug auf den Datenzugriff durch US-Behörden vor, insbesondere solche für Zwecke der Strafverfolgung und der nationalen Sicherheit.
Nächste Schritte
Die Europäische Kommission hat den veröffentlichten Entwurf des Angemessenheitsbeschlusses bereits dem Europäischen Datenschutzausschuss zur Stellungnahme vorgelegt. Anschließend ist die Zustimmung eines Ausschusses einzuholen, welcher sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Außerdem hat das Europäische Parlament ein Kontrollrecht. Nach Abschluss dieser Schritte kann die Europäische Kommission schließlich den endgültigen Angemessenheitsbeschluss zum „EU-US Datenschutzrahmen“ verabschieden.
Ausblick
Wann der angekündigte Angemessenheitsbeschluss in Kraft treten wird, steht noch nicht fest. Bislang hat die Europäische Kommission kein Datum mitgeteilt. Realistischerweise ist aber mit einer Verabschiedung in der ersten Hälfte des Jahres 2023 zu rechnen. Es ist also absehbar, dass sich der transatlantische Datentransfer bald in ruhigerem Fahrwasser bewegen wird. Dies gilt jedenfalls solange, wie ein „angemessenes Schutzniveau“ in den USA gewährleistet ist und der EuGH den Angemessenheitsbeschluss unangetastet lässt.
Dessen ungeachtet sind Unternehmen bis zum Inkrafttreten des neuen Angemessenheitsbeschlusses verpflichtet, geeignete alternative Maßnahmen für den Datentransfer zwischen der EU und den USA zu ergreifen. Hierfür kommt typischerweise als Minimalmaßnahme der Abschluss der neuen Standardvertragsklauseln der Europäischen Kommission aus 2021 in Betracht. Nach Ablauf der Übergangsfrist genügen die alten Standardvertragsklauseln aus 2001 und 2010 auch bei bestehenden Verträgen nicht mehr den rechtlichen Anforderungen. Unabhängig davon sind Unternehmen weiterhin verpflichtet, ihre vertraglichen Verpflichtungen zum Schutz personenbezogener Daten zu erfüllen.