Aller guten Dinge sind Drei. Nach Safe Harbor und dem Privacy Shield wurde mit dem „EU-U.S. Data Privacy Framework“ ein neues Datenschutzabkommen zwischen der EU und den USA ins Leben gerufen. Es bildet die Grundlage für einen im Juni 2023 gefassten Beschluss der Europäischen Kommission, in dem das Datenschutzniveau für zertifizierte Unternehmen in den USA für angemessen erklärt wird („Angemessenheitsbeschluss“).
Der nachfolgende Beitrag wirft einen Blick auf die Entwicklungen in Sachen „Datentransfer in die USA“ bis hin zum Erlass des neuen Angemessenheitsbeschlusses und erklärt Ihnen, was unter einem solchen Angemessenheitsbeschluss zu verstehen ist. Wir wagen zudem einen Ausblick auf die Erfolgsaussichten des neuen Angemessenheitsbeschlusses.
März 2022: Eckpunkte des neuen Abkommens werden verkündet
Im März 2022 einigten sich die Europäische Kommission und die US-Regierung auf das „EU-U.S. Data Privacy Framework“. Die Kommission veröffentlichte am 25. März 2022 in ihrem Factsheet folgende Grundprinzipien des Datenschutzabkommens:
- Auf Basis des neuen Abkommens werden Daten frei und sicher zwischen der EU und den teilnehmenden US-Unternehmen fließen können.
- Ein neues Regelwerk und verbindliche Schutzmaßnahmen sollen den Zugriff der US-Nachrichtendienste beschränken. Damit wird sichergestellt, dass ein Zugriff nur dann erfolgt, wenn er notwendig und verhältnismäßig ist, um die nationale Sicherheit zu gewährleisten, ohne dass dadurch die Rechte und Freiheiten des Einzelnen unverhältnismäßig beeinträchtigt werden. Es werden Verfahren etabliert, die eine wirksame Überwachung der neuen Standards gewährleisten.
- Ein neues zweistufiges Rechtsbehelfsystem soll sicherstellen, dass Beschwerden von EU-Bürgern über den Zugriff auf Daten durch US-Nachrichtendienste untersucht und behandelt werden. Zur gerichtlichen Prüfung wird ein neuer und unabhängiger „Data Protection Review Court“ ins Leben gerufen.
- Es gelten strenge Verpflichtungen für US-Unternehmen, die aus der EU übermittelte Daten verarbeiten. Dazu gehört die Verpflichtung, die Einhaltung des Abkommens gegenüber dem US-Handelsministerium anhand einer Selbstzertifizierung zu bestätigen.
Das Weiße Haus spricht in seiner Veröffentlichung von beispiellosen Verpflichtungen, die die USA zur Stärkung des Schutzes der Privatsphäre und der bürgerlichen Freiheiten mit dem EU-U.S. Data Privacy Framework eingehen.
Oktober 2022: Erlass einer Executive Order
Nach der Verkündung der grundsätzlichen Einigung lag der Ball auf der anderen Seite des Atlantiks. Die USA waren an der Reihe, die Grundprinzipien des Abkommens rechtlich abzusichern und diejenigen Aspekte des Datenschutzes in den USA zu adressieren, die im Jahr 2020 den Europäischen Gerichtshof (EuGH) zur Aufhebung des Privacy Shield veranlassten. Am 07.10.2022 hat US-Präsident Joe Biden hierzu ein entsprechendes Dekret erlassen. Durch diese Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities (E.O.) werden unter anderem die US-Geheimdienste angewiesen, ihre Datenzugriffe auf ein verhältnismäßiges Maß zu beschränken. Hierdurch hat die US-Administration den Ball zu der Europäischen Kommission zurückgespielt, die danach ihrerseits die Aufgabe hatte, einen entsprechenden Angemessenheitsbeschluss auf den Weg zu bringen.
Was ist ein Angemessenheitsbeschluss?
Nach Art. 44 DSGVO ist der Transfer personenbezogener Daten in Drittländer nur dann zulässig, wenn bestimmte Voraussetzungen erfüllt werden, genauer gesagt, wenn ein Transfermechanismus den Transfer legitimiert. Der für Unternehmen bequemste und zugleich rechtssicherste Transfermechanismus stellt der Angemessenheitsbeschluss gem. Art. 45 DSGVO dar.
Mittels eines solchen Angemessenheitsbeschlusses kann die Europäische Kommission feststellen, dass ein Drittland, ein Gebiet eines Drittlands oder ein bestimmter Sektor eines Drittlands ein angemessenes Datenschutzniveau bietet. Hat die Kommission einen solchen Beschluss gefasst, dürfen Unternehmen personenbezogene Daten ohne weitere Voraussetzungen an die betreffenden Empfänger im Drittland übermitteln.
Selbstverständlich kann die Kommission nicht nach Belieben Angemessenheitsbeschlüsse erlassen, sondern muss dabei nach Art. 45 Abs. 2 DSGVO gewisse Aspekte des Schutzniveaus für personenbezogene Daten im Drittland berücksichtigen. Hierzu zählen rechtsstaatliche Prinzipien, die Achtung von Menschenrechten, das Bestehen und die Kompetenzen von Datenschutzaufsichtsbehörden sowie das Bestehen internationaler Verpflichtungen.
Ob und inwiefern die Executive Order von Präsident Biden tatsächlich zu einer signifikanten Verbesserung und somit zu einer Angemessenheit des Datenschutzniveaus in den USA im Sinne des Art. 45 DSGVO führt, ist in der Datenschutzwelt und anscheinend sogar unter deutschen Datenschutzaufsichtsbehörden umstritten.
Erfolgsaussichten des Angemessenheitsbeschlusses
Kritik an der Executive Order kam von der Aufsichtsbehörde in Baden-Württemberg, die den Schritt der US-Administration zwar im Grundsatz begrüßte, aber mehrere Punkte an der Executive Order monierte. So äußerte die Behörde unter anderem Zweifel daran, ob die Executive Order als Rechtsinstrument überhaupt geeignet ist, die von der europäischen Seite geforderten Punkte wirksam umzusetzen. Zudem bleibe unklar, ob die US-amerikanische Auffassung „verhältnismäßiger Datenzugriffe“ durch US-Geheimdienste dem im europäischen Verfassungsrecht zentralen Begriff der „Verhältnismäßigkeit“ gerecht werden kann.
Zu einer anderen Einschätzung kam die Hamburgische Aufsichtsbehörde, die in der Executive Order einen großen Schritt sah und direkt auf Kritikpunkte der Kolleg:innen im Ländle einging. Nach Ansicht der Datenschützer:innen aus Hamburg stellt die Executive Order ein bewährtes Rechtsinstrument dar und komme erfolgreich in anderen Bereichen, etwa der Terrorismusbekämpfung, zum Einsatz. Außerdem sei es nicht erforderlich, dass die Auffassungen vom Verhältnismäßigkeitsbegriff identisch sind. Vielmehr fordere die DSGVO ein gleiches Datenschutzniveau und keine übereinstimmenden Rechtssysteme. Die Behörde plädierte deshalb für eine ergebnisoffene Prüfung des durch die Executive Order erreichten Datenschutzniveaus.
Dezember 2022: Entwurf eines Angemessenheitsbeschlusses
Ungeachtet der Kritik hat die Europäische Kommission am 13. Dezember basierend auf der Executive Order einen Entwurf für einen Angemessenheitsbeschluss nach Art. 45 DSGVO vorgelegt. Dieser musste das sog. Annahmeverfahren passieren. Hierzu wurde der Entwurf zunächst dem Europäischen Datenschutzausschuss vorgelegt. Im Anschluss musste die Kommission die Zustimmung eines Ausschusses bestehend aus Vertreter:innen der Mitgliedsstaaten einholen. Zuletzt musste der Entwurf noch einer Kontrolle des Europäischen Parlaments standhalten. Erst danach konnte die Kommission den endgültigen Angemessenheitsbeschluss annehmen.
Juli 2023: Erlass des neuen Angemessenheitsbeschlusses
Am 10. Juli 2023 war es dann so weit: Die Europäische Kommission hat den neuen Angemessenheitsbeschluss für die USA auf Grundlage des EU-U.S. Data Privacy Frameworks erlassen. Bereits ein paar Tage zuvor ist die offizielle Website für das neue Datenschutzabkommen online gegangen. Auf dieser ist zukünftig eine Liste mit den US-Unternehmen abrufbar, die sich nach dem neuen Mechanismus zertifiziert haben lassen und an die somit ohne weitere Voraussetzungen personenbezogene Daten übermittelt werden dürfen.
Bedeutung für die Praxis und Fazit
Für alle EU-Unternehmen, die US-Dienste einsetzen und dadurch personenbezogene Daten in die USA übermitteln, ist mit dem EU-U.S. Data Privacy Framework und dem entsprechenden Angemessenheitsbeschluss eine deutliche Erleichterung eingetreten. Aus wirtschaftlicher Sicht ist diese Entwicklung zu begrüßen. Aber Vorsicht! Der Angemessenheitsbeschluss kommt nur dann als Transfermechanismus infrage, wenn das US-Unternehmen, an das personenbezogene Daten übermittelt werden sollen, über eine gültige Zertifizierung nach dem EU-U.S. Data Privacy Framework verfügt. Ist das nicht der Fall, ist weiterhin der Abschluss von Standardvertragsklauseln und die Durchführung eines Transfer Impact Assessments erforderlich.
Die Zukunft wird zudem zeigen, ob sich das Sprichwort „Aller guten Dinge sind Drei“ wirklich bewahrheitet und der verbesserte Schutz der Daten in den USA einer erneuten Prüfung durch den EuGH standhalten kann. Max Schrems läuft sich für das nächste Verfahren vor dem EuGH jedenfalls schon warm.
Julia Ruhe ist Wirtschaftsjuristin, zertifizierte Datenschutzbeauftragte und Datenschutzauditorin. Sie berät als Managing Consultant die Mandanten der Datenschutzkanzlei bei der Einführung und Umsetzung wirksamer Datenschutz-Management-Prozesse.
Simeon Boltjes, LL.M. ist Wirtschaftsjurist und Legal Consultant bei der Datenschutzkanzlei.