Lichtblick für Daten­transfers in die USA – Europäische Kommission bereitet Angemessen­heits­beschluss für neuen Trans­atlantischen Daten­schutz­rahmen vor

Hintergrund: „Schrems II“-Entscheidung des EuGH, Empfehlungen des EDSA und bundeländerübergreifende Kontrolle deutscher Aufsichtsbehörden

In seiner aufsehenerregenden „Schrems II“-Entscheidung hatte der Europäische Gerichtshof (EuGH) am 16. Juli 2020 den Angemessenheitsbeschluss der Europäischen Kommission zum „EU-U.S. Privacy Shield“ – ohne Übergangsfrist –  für ungültig erklärt und damit dem transatlantischen Datentransfer einen herben Schlag versetzt.

Am 11. November 2020 hatte der Europäische Datenschutzausschuss (EDSA) daraufhin ausführliche Empfehlungen zu ergänzenden Maßnahmen zu verbleibenden Transferwerkzeugen für internationale Datentransfers veröffentlicht und nach öffentlicher Konsultation am 18. Juni 2021 die finale Fassung seiner Empfehlungen verabschiedet.

Mit dem erklärten Ziel einer „breiten Durchsetzung“ der Anforderungen des EuGH aus „Schrems II“ haben mehrere deutsche Aufsichtsbehörden angekündigt, im Rahmen einer bundesländerübergreifenden Kontrolle internationaler Datenübermittlungen durch Unternehmen zu überprüfen.

Zwar verbleibt auf Grundlage vom EuGH bislang nicht beanstandeter Transferwerkzeuge und gesetzlichen Ausnahmen für bestimmte Einzelfälle durchaus noch Spielraum für Datentransfers in die USA, beispielsweise auf Basis von der Europäischen Kommission am 4. Juni 2021 beschlossener neuer Standardvertragsklauseln für internationale Datentransfers. Jedoch stellen die vom EDSA empfohlenen und auch in den neuen Standardvertragsklauseln geforderten „Transfer Impact Assessments“ (kurz „TIA“) und daraus ggf. resultierenden ergänzenden Maßnahmen Unternehmen in der Praxis vor enorme Herausforderungen.

Neuer „Transatlantischer Datenschutzrahmen“ und U.S. Executive Order “Enhancing Safeguards for United States Signals Intelligence Activities”

Am 25. März 2022 veröffentlichten die Europäische Kommission und die USA eine gemeinsame Erklärung zu einem neuen „Transatlantischer Datenschutzrahmen“. Der Nachfolger für das vom EuGH für unzureichend befundene „EU-U.S. Privacy Shield“ soll auch die vom EuGH in „Schrems II“ geäußerten Bedenken ausräumen.

Am 7. Oktober 2022 unterzeichnete U.S. Präsident Biden nun eine neue Executive Order „Enhancing Safeguards for United States Signals Intelligence Activities“, die dazu dienen soll, die Vereinbarungen mit der Europäischen Kommission zum neuen „Transatlantischen Datenschutzrahmen“ im US Recht umzusetzen.

Vorbereitung eines Angemessenheitsbeschlusses für neuen „Transatlantischer Datenschutzrahmen“

Auf dieser Grundlage möchte die Europäische Kommission nun einen Angemessenheitsbeschluss für den neuen „Transatlantischer Datenschutzrahmen“ vorbereiten und das Verfahren zu dessen Annahme einleiten.

Wenngleich wenig überraschend bereits teils harsche Kritik an den neuen Regelungen geäußert wurde, geht die Europäische Kommission fest davon aus, dass der neue „Transatlantische Datenschutzrahmen“ auch einer neuerlichen Überprüfung durch den EuGH standhielte. Es ist zwar damit zu rechnen, dass auch der „Transatlantische Datenschutzrahmen“ früher oder später vor dem EuGH landen wird. Zumindest bis auf Weiteres könnten Unternehmen jedoch Datentransfers in die USA unter dem neuen „Transatlantischen Datenschutzrahmen“ auf den neuen Angemessenheitsbeschluss der Kommission stützen.

Wann der von der Europäischen Kommission angekündigte Angemessenheitsbeschluss tatsächlich in Kraft treten wird, ist aktuell noch nicht mit Sicherheit absehbar. Die Kommission muss hierzu vorab unter anderem eine Stellungnahme des ESDA einholen. Außerdem benötigt die Kommission hierfür noch grünes Licht eines Ausschusses aus Vertretern der EU-Mitgliedstaaten. Darüber hinaus hat auch das Europäische Parlament ein Kontrollrecht bei Angemessenheitsbeschlüssen. Die Kommission selbst hat bislang offiziell kein konkretes Datum für den von ihr in Aussicht gestellten Angemessenheitsbeschluss verlauten lassen. Mit einer Verabschiedung dürfte also frühestens Ende 2022, eher Anfang 2023 zu rechnen sein.

Für den durch „Schrems II“ angeschlagenen transatlantischen Datentransfer zeichnet sich also ein gewisser Lichtblick ab – zumindest mittelfristig. Dennoch gilt es – nicht zuletzt vor dem Hintergrund der datenschutzrechtlichen Rechenschaftspflicht – auch weiterhin im Sinne der vom EDSA empfohlenen umfassenden TIAs die Risiken internationaler Datentransfers im Unternehmen insgesamt überprüfen und gegebenenfalls Maßnahmen zur Behandlung etwaiger Risiken ergreifen.