Datenübertragung in die USA - auf Basis eines EU-Angemessenheitsbeschlusses bald möglich!
US-Präsident Joe Biden unterzeichnete am 07.10.2022 die neue Exekutivanordnung („Executive Order“) für den U.S.DataPrivacyFramework (USDPF), welche insbesondere den Bedenken der EU im Hinblick auf die US-Überwachungspraxis begegnen soll. Die USA bezeichnete den neuen Datenschutz-Rahmen als „dauerhaften und verlässlichen Rechtsgrundlage“ und erklärte dass die „robusten“ Verpflichtungen in der Anordnung auch die vom EuGH aufgeworfenen Fragen zum Privacy Shield „vollständig berücksichtigt“. Hiermit wurde nun die Grundlage für die EU-Kommission geschaffen, im Folgenden die von der USA getroffenen Schritte zu akzeptieren und einen sog. Angemessenheitsbeschluss zum vereinfachten Datenaustausch zwischen den USA und der EU auszuarbeiten. Lesen Sie mehr hierzu im heutigen Beitrag.
Inhaltsverzeichnis
Wie kam es dazu?
Vorausgegangen war eine Entscheidung des EUGH im Jahr 2020, welche den bis dahin geltenden Beschluss der EU-Kommission vom 12.07.2016 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes für ungültig erklärt hatte. Besonders kritisierte der EuGH dabei die praktisch schrankenlosen Befugnisse der US-Geheimdienste sowie die fehlenden Rechtsschutzmöglichkeiten der Bürger.
Hieran anschließend arbeiteten die USA und die EU an einer neuen Lösung, welche erstmals im März diesen Jahres von der Präsidentin der Europäischen Kommission, Frau Ursula von der Leyen, verkündet und vorgestellt wurde. Der neue Rahmen für den Datentransfer berücksichtige ihrer Aussage zufolge „Sicherheit, Privatsphäre und Datensicherheit“.
Mit der Unterzeichnung der Exekutivanordnung setzte die USA dies nun in einem ersten Schritt um. Im Folgenden ist es nun Aufgabe der EU, auf die geänderte Rechtslage in den USA zu reagieren und an einen neuen Angemessenheitsbeschluss gem. Art. 45 DSGVO auszuarbeiten. Hiermit sei voraussichtlich im März 2023 zu rechnen.
Was ist neu?
Durch die neue Exekutivanordnung soll vor allem die Datensicherheit von sowohl europäischen als auch amerikanischen Bürgern gestärkt werden.
Die wichtigsten Merkmale des neuen USDPF-Rahmen:
Datenzugriffe durch US-Geheimdienstbehörden seien nur dann noch möglich, wenn dies zur Förderung nationaler Sicherheitsziele erforderlich sei. Hierbei dürfen die Rechte des Einzelnen allerdings nicht unverhältnismäßig beeinträchtigt werden.
Weiterhin soll ein neuer mehrstufiger Rechtsbehelfsmechanismus eingeführt werden, im Rahmen dessen auch ein unabhängiges Datenschutzprüfungsgericht („Data Protection Review Court“) tätig werde. Hierbei können auch für die US-Geheimdienstbehörden verbindliche Entscheidungen getroffen werden.
Auch sollen neue Verfahren zur Gewährleistung einer wirksamen Aufsicht eingeführt werden.
Zudem müsse das US-Handelsministerium nun der Verpflichtung der Selbstzertifizierung der Einhaltung der Grundsätze nachkommen.
Welche Auswirkungen wird es für Unternehmen haben?
In Folge der Ungültigkeitserklärung des Beschlusses der EU-Kommission durch den EuGH in 2020 mussten europäische Unternehmer, welche personenbezogene Daten im Auftrag durch ein amerikanisches Unternehmen verarbeiten lassen haben (z.B. Verwendung von US-Cloud-Diensten), nun weitere Vorkehrungen treffen.
Sie mussten sicherstellen, dass Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter abgeschlossen wurden, konnten ihren Transfer der personenbezogenen Daten also nicht mehr auf die Teilnahme des amerikanischen Unternehmens an dem sog. „Privacy Shield“ stützen.
Aufgrund der ausgeprägten Überwachungsmöglichkeiten der US-Behörden wurde jedoch selbst bei Verwendung solcher Klauseln Bedenken geäußert, inwieweit diese einen effektiven Schutz gewährleisten können.
Häufig wurden deshalb zusätzliche Schutzmaßnahmen wie Verschlüsselungen gefordert, die jedoch eine Verarbeitung in Cloud-Softwares ausschließen würde. Die „Auslagerung“ der Verarbeitung personenbezogener Daten in die USA wurde deshalb häufig eingestellt.
Dies soll sich nun jedoch durch den neuen Angemessenheitsbeschluss wieder ändern. Unternehmen sollen dann mit vertretbarer Rechtssicherheit wieder die Möglichkeit haben, US-Cloudprodukte zu verwenden, sowie personenbezogene Daten mit den USA austauschen zu können.
Aktualisierung Ihrer Datenschutzerklärung(en) erforderlich!
Durch den Angemessenheitsbeschluss der EU-Kommission wird es für Online-Händler und Website-Betreiber notwendig werden die eigenen Datenschutzerklärungen anzupassen (soweit hierin über die Datenverarbeitung in den USA informiert wird).
Wir werden unseren Mandanten rechtzeitig angepasste Datenschutzerklärungen im Mandantenportal zur Verfügung stellen und hierzu gesondert informieren !
Kritik
Der Kläger der ursprünglichen Verfahren vor dem EuGH zu den EU-US-Datentransfers sprach allerdings bereits erneut Kritik an der getroffenen Nachfolgelösung aus. Seiner Ansicht nach müssten Verhandlungen über die Schaffung eines multilateralen Vertrags über die Einführung einheitlicher Datenschutz-Standards fortgesetzt werden.
Hauptpunkt seiner Kritik stellte der Punkt dar, dass auch durch den neuen Präsidialerlass das Problem der Massenüberwachungen nicht gelöst werden könne. Diese seien nämlich ausdrücklich weiterhin zulässig, jedoch unter der Einschränkung, dass diese auf ein verhältnismäßigen Maß beschränkt werden sollen. Angemerkt wurde jedoch, dass die genaue Definition von „Verhältnismäßigkeit“ nicht derjenigen der europäischen Union entspreche und eine andere rechtliche „amerikanische Bedeutung“ habe.
Auch die Effektivität der gewährleisteten Rechtsbehelfe wurde kritisiert, insbesondere unter Hinweis, dass es dem alten System zu sehr ähnele. Auch sei das sog. „Data Protection Review Court“ kein tatsächliches Gericht, sondern nur eine weitere Verwaltungsbehörde und würde deshalb ein falsches Bild hervorrufen.
Die EU-Kommission hat heute am 13.12.2022 den Entwurf eines Beschlusses vorgelegt, mit dem sich die Vereinigten Staaten verpflichten, ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten, die aus der EU in die USA übermittelt werden.
Der Beschlussentwurf, der den Bedenken des Gerichtshofs der Europäischen Union in der Rechtssache Schrems II vom Juli 2020 Rechnung trägt, wurde nun dem Europäischen Datenschutzausschuss (EDSB) zur Stellungnahme vorgelegt. Der nächste Schritt ist die Genehmigung durch einen Ausschuss, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Auch das Europäische Parlament hat ein Kontrollrecht bei Angemessenheitsentscheidungen. Sobald diese Schritte abgeschlossen sind, kann die Kommission die endgültige Angemessenheitsentscheidung erlassen.
Fazit
Ob die Kritik begründet ist bzw. ob der EuGH dem im Falle einer möglichen Klage zustimmt, bleibt abzuwarten.
Mit Begriffen wie Verhältnismäßigkeit, Speicherbegrenzung oder Datenminimierung nennt die neue Exekutivanordnung viele ähnlichen Begriffe die auch in der DSGVO zu finden sind. Dass diese unterschiedlich ausgelegt werden könnten, stellt auch innerhalb der EU keine Außergewöhnlichkeit dar. Entscheidend ist letztlich das Schutzmaß.
Auch die Kritik an dem neuen Datenschutzprüfungsgericht fokussiert sich sehr auf rein formale Aspekte. Es wird sich in der Praxis zeigen, wie effektiv die neue Anordnung sein wird.
Vorerst heißt es jedoch Abwarten für Unternehmer, bis der neue Angemessenheitsbeschluss der EU veröffentlicht wird.
Hinweis: Sorgen Sie vor – egal ob Webseitenbetreiber oder Online-Händler - und sichern Ihre Internetauftritte durch anwaltliche Expertise ab. Genau hierfür bieten wir unsere Schutzpakete an.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare