Leinen los für EU-US Daten­transfer – Europäische Kommission veröffentlicht Angemessenheits­beschluss für neuen EU-US Datenschutzrahmen

Die Europäische Kommission hat am 10. Juli 2023 den lang angekündigten Angemessenheitsbeschluss für die Übermittlug personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ veröffentlicht.

Die Europäische Kommission kommt in ihrem Angemessenheitsbeschluss zu dem Ergebnis, dass für personenbezogene Daten, die aus der EU an ein unter dem neuen EU-US Datenschutzrahmen zertifiziertes Unternehmen in den USA übermittelt wurden, ein angemessenes Schutzniveau besteht. Auf Grundlage dieses Angemessenheitsbeschlusses können personenbezogener Daten nun ohne weitere Maßnahmen für Drittlandtransfers oder behördliche Genehmigungen aus der EU in die USA an die zertifizierten Unternehmen übermittelt werden.

Hintergrund: „Schrems II“-Entscheidung des EuGH, neuer „Transatlantischer Datenschutzrahmen“ und U.S. Executive Order “Enhancing Safeguards for United States Signals Intelligence Activities”

In einer aufsehenerregenden Entscheidung hatte der Europäische Gerichtshof (EuGH) am 16. Juli 2020 in der Sache „Schrems II“ den Durchführungsbeschluss der Europäischen Kommission zum „EU-U.S. Privacy Shield“ – ohne Übergangsfrist – für ungültig erklärt und damit dem transatlantischen Datentransfer einen herben Schlag versetzt.

Am 25. März 2022 veröffentlichten die Europäische Kommission und die USA eine gemeinsame Erklärung zu einem neuen „Transatlantischen Datenschutzrahmen“. Darin erklärten sie, der Nachfolger für das vom EuGH für unzureichend befundene „EU-U.S. Privacy Shield“ solle auch die vom EuGH in „Schrems II“ geäußerten Bedenken ausräumen. Am 7. Oktober 2022 unterzeichnete U.S. Präsident Biden eine Executive Order „Enhancing Safeguards for United States Signals Intelligence Activities“, die dazu dienen soll, die Vereinbarungen mit der Europäischen Kommission zum neuen „Transatlantischen Datenschutzrahmen“ im US Recht umzusetzen. Daraufhin hatte die Kommission noch am selben Tag angekündigt, einen Angemessenheitsbeschluss für den „EU-US Datenschutzrahmen“ vorzubereiten und am 13. Dezember 2022 einen Entwurf hierzu veröffentlicht.

Künftige Erleichterung des Datentransfers in die USA

US-Unternehmen können sich nun dem neuen EU-US Datenschutzrahmen anschließen und sich darunter zertifizieren. Bei diesem neuen Zertifizierungssystem verpflichten sich US-Unternehmen zu einer Reihe von Datenschutzgrundsätzen, die vom US-Handelsministerium herausgegeben werden und in Anhang 1 des Angemessenheitsbeschlusses enthalten sind. Insbesondere müssen US-Unternehmen auch den Ermittlungs- und Durchsetzungsbefugnissen der Federal Trade Commission (FTC) und des US Department of Transportation (DoT) unterfallen, um am Datenschutzrahmen teilnehmen zu können. Für US-Unternehmen, die sich dem EU-US Datenschutzrahmen anschließen, gelten diese Datenschutzgrundsätze unmittelbar nach der Zertifizierung und sie müssen die Einhaltung der Grundsätze jährlich re-zertifizieren. Datentransfers an solche zertifizierten US-Unternehmen können künftig ohne weitere Datenschutzgarantien stattfinden, insbesondere ohne Abschluss von Standardvertragsklauseln der Kommission.

Auch für Datentransfers an US-Unternehmen, die sich dem EU-US Datenschutzrahmen (noch) nicht angeschlossen haben, sollen die neuen Regelungen für US-Geheimdienste, die mit der von US-Präsident Biden erlassenen Executive Order „Enhancing Safeguards for United States Signals Intelligence Activities“ künftig gelten, den Datentransfer in die USA erleichtern. Denn durch diese sollen personenbezogene Daten bei Zugriffen von US-Behörden für Zwecke der nationalen Sicherheit künftig grundsätzlich besser geschützt werden. Dies umfasst die Stärkung des Schutzes der Privatsphäre und bürgerlichen Freiheiten, indem nun sichergestellt ist, dass Aktivitäten der US-Geheimdienste für die Verfolgung definierter nationaler Sicherheitsziele notwendig und verhältnismäßig sein müssen. Außerdem erfolgte die Einrichtung eines neuen Rechtsbehelfsmechanismus und die Verbesserung der bestehenden Aufsicht über die Aktivitäten der US-Geheimdienste.

Datentransfers an US-Unternehmen, die nicht auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission sondern mit anderen sog. geeigneten Garantien wie den Standardvertragsklauseln oder verbindlichen internen Datenschutzvorschriften erfolgen, werden durch die neuen Regelungen für US-Geheimdienste nach Aussage der Europäischen Kommission daher generell erleichtert. Nichtsdestotrotz sollten Unternehmen, die personenbezogene Daten an US-Unternehmen übermitteln, sorgfältig überprüfen, auf welcher Grundlage die Datenübermittlung stattfinden kann und gegebenenfalls neue Standardvertragsklauseln der Europäischen Kommission aus 2021 abschließen. Die Nutzung von Standardvertragsklauseln oder anderer geeigneter Garantien erfordert jedoch trotz deutlich verbesserter Rechtslage in den USA dennoch weiterhin ein sog. Transfer Impact Assessment, in dem zu prüfen ist, ob das nationale Recht der Übermittlung entgegensteht. Dieses Transfer Impact Assessment ist nur dann nicht durchzuführen, wenn die Übermittlung tatsächlich auf Basis des neuen Angemessenheitsbeschlusses erfolgt – also an unter dem EU-US Datenschutzrahmen zertifizierte Unternehmen.

Wenngleich, wenig überraschend, bereits teils harsche Kritik am neuen „EU-US Datenschutzrahmen“ geäußert wurde, geht die Europäische Kommission fest davon aus, dass ihr neuer Angemessenheitsbeschluss auch einer neuerlichen Überprüfung durch den EuGH standhalten wird. Es ist zwar damit zu rechnen, dass auch der neue Angemessenheitsbeschluss zeitnah vor dem EuGH landen wird. Zumindest bis auf Weiteres werden Unternehmen Datentransfers in die USA jedoch auf den neuen Angemessenheitsbeschluss der Europäischen Kommission stützen können.