MELDUNG

Entwurf der Europäischen Kommission für einen Angemessenheitsbeschluss zum transatlantischen Datentransfer

I. Einführung

Bekanntermaßen hat der EuGH in seinem Urteil vom 16.07.2020 (Az. C-311/18, „Schremms II“) den Angemessenheitsbeschluss der EU-Kommission zum EU-US-Privacy-Shield (2016/1215) für unwirksam erklärt.

Der EuGH kam zu dem Ergebnis, ein Drittland müsse aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen in tatsächlicher Hinsicht ein Schutzniveau gewährleisten, das dem in der Europäischen Union aufgrund der durch die DSGVO gewährten Rechte gleichwertig ist. Dabei müsse das Niveau nicht identisch sein, gefordert werde indes die gleiche Schutzhöhe.

Ein solches gleichwertiges Schutzniveau erkannte der EuGH in dem früheren Angemessenheitsbeschluss nicht. Vielmehr waren hinreichende Garantien zum Schutze personenbezogener Daten seitens der US-amerikanischen Seite nicht erteilt und sodann dieser Umstand nicht hinreichend von der EU-Kommission gewürdigt worden. So wurde u.a. nicht beachtet, dass eine generelle Ausnahme von den Grundsätzen zum Schutze personenbezogener Daten vorgesehen war, wenn nationalen Sicherheitsinteressen der USA vorrangig Rechnung zu tragen war. Ferner stand Nicht-US-Bürgern der Rechtsweg in den USA gegen US-behördliches Vorgehen nicht offen.

Die Folge der EuGH-Entscheidung war, dass zahlreichen transatlantischen Datenübermittlungen die Rechtsgrundlage entzogen wurde.

Zwar konnte und kann ein Datentransfer in ein Drittland auch auf sog.  Standarddatenschutzklauseln (oder auch Standardvertragsklausel genannt) gestützt werden, vgl. Art. 46 Abs. 2 lit. c DSGVO. Jedoch ist hierfür der Abschluss einer Vereinbarung zwischen Datenexporteur und der Datenimporteur erforderlich. Die bis zum o.g. EuGH-Urteil verwendeten Standardvertragsklauseln boten kein angemessenes Schutzniveau für den EU-US-Datenverkehr, da sämtliche Garantien fehlten, wie bei einem Zugriff der Behörden eines Drittlands umzugehen sei. Diesem Umstand begegnete die Europäische Kommission mit überarbeiten Standardvertragsklauseln, die am 04.06.2021 beschlossen wurden und zu mehr Rechtssicherheit beitragen sollten. Dies ist indes noch nicht in dem gewünschten Umfang gelungen.

Die Schwierigkeit im Rahmen der Standardvertragsklauseln liegt darin, dass es sich um eine bilaterale Vereinbarung zwischen Datenexporteur und Datenimporteur handelt. Dabei müssen vom Datenimporteur hinreichende Garantien übernommen werden, wie dieser im Falle eines behördlichen Zugriffs auf die personenbezogenen Daten reagieren werde. Dies hat dergestalt zu erfolgen, dass der Datenimporteur diesem behördlichen Begehren (auf Herausgabe der personenbezogenen Daten) auf dem Rechtsweg entgegentritt. Auf Seiten des Datenexporteurs besteht die Schwierigkeit, dass dieser sich vor dem Datentransfer über die datenschutzrechtlichen Risiken im Drittland informieren muss. All das führt dazu, dass viele Vereinbarungen über den Abschluss der Standardvertragsklauseln, mangels Unkenntnis (insbesondere auf Seiten US-amerikanischer Dienstleister), unzureichend ausgestaltet sind. Ist dies der Fall, so fehlt es an einer Rechtsgrundlage für den Datentransfer.

Daher werden in eine baldige Nachfolgeregelung zum EU-US-Privacy-Shield-Angemessenheitsbeschluss hohe Erwartungen gesetzt. Denn im Rahmen eines sog. Angemessenheitsbeschlusses (vgl. Art. 45 DSGVO) wird von der EU-Kommission festgestellt, dass der Datentransfer rechtmäßig sei, weil im Drittland ein gleichwertiges, der DSGVO entsprechendes Datenschutzniveau gewährleistet wird.

II. Entwurf eines Angemessenheitsbeschlusses der EU-Kommission

Nach langen Verhandlungen hat die EU-Kommission am 13.12.2023 den Entwurf eines neuen Angemessenheitsbeschluss zum Zwecke der Datenübermittlung zwischen der EU und den USA veröffentlicht (sog. EU-US Data Privacy Framework; siehe hier). Damit soll ein Nachfolgebeschluss zum Privacy-Shields-Angemessenheitsbeschluss in Kraft treten, in dem ein angemessenes Schutzniveau im transatlantischen Datenverkehr sichergestellt wird.

Um ein angemessene Schutzniveau nunmehr sicherzustellen, wurde zwischen den USA und der EU u.a. vereinbart, dass

  • der Zugriff von US-Nachrichtendiensten auf europäische personenbezogene Daten auf das zum Schutz der US-nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt sein soll;
  • EU-Bürger auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren zurückgreifen können, das auch die Befassung eines neu geschaffenen Gerichts zur Datenschutzüberprüfung einschließe.

Diesem Datenschutzrahmen können Unternehmen beitreten, wenn Sie sich zur Einhaltung bestimmter Datenschutzpflichten verpflichten, wie z.B. der Löschung von personenbezogenen Daten bei Zweckentfall oder der Schutz der personenbezogenen Daten bei deren Weitergabe an Dritte.

III. Kritik am neuen EU-US-Datenschutzrahmen

Es wird erwartet, dass der Angemessenheitsbeschluss im ersten Quartal 2023 in Kraft tritt und damit endlich die langersehnte Rechtssicherheit für alle Akteure eintritt. Indes ist die Kritik am Entwurf bereits jetzt sehr laut (siehe z.B. hier).

Zum einen betrifft die Kritik das Tätigwerden der US-Sicherheitsbehörden. Denn die Einführung des Grundsatzes der Verhältnismäßigkeit im Angemessenheitsbeschluss ändert nichts an der Möglichkeit des eigentlichen Zugriffes auf die personenbezogenen Daten von Nicht-US-Bürgern durch US-Sicherheitsbehörden. So wurde Section 702 des Foreign Intelligence Suveillence Act (FISA) durch die Executive Order des US-Präsidenten Biden nicht berührt. Section 702 FISA betrifft ausschließlich Nicht-US-Bürger. Sodann wird vorgetragen, dass Nicht-US-Bürgern auch weiterhin kein unabhängiger Rechtsweg offen stünde. Vielmehr handele es sich bei dem Data Protection Review Court um einen Bestandteil der Verwaltung.

IV. Fazit

Nach über 2 Jahren Rechtsunsicherheit (Safe-Harbor nicht mitgerechnet), wäre es nur zu begrüßen, wenn bald ein tragfähiger Rechtsrahmen für den transatlantischen Datenverkehr in Kraft treten würde.

Indes bestehen hieran in der Tat Zweifel. Dies beginnt bereits bei der mutmaßlichen Unabhängigkeit des im Angemessenheitsbeschluss erwähnten Rechtswegs. Dass der Zugriff der US-Sicherheitsbehörden auf das notwendige Maß beschränkt werden soll, ist schlussendlich kein großer Wurf, da jegliches staatliche Handeln dem Grundsatz der Verhältnismäßigkeit unterfällt und dieser Grundsatz, wenn auch so nicht explizit verankert, auch im Angemessenheitsbeschluss zum Privacy-Shield abzuleiten war.

So bleibt zwar die Hoffnung, dass endlich Rechtsicherheit eingekehrt. Es bleiben aber auch Rechtszweifel. Und diesbezüglich wird den EuGH vermutlich eine dritte Klage zum Angemessenheitsbeschluss betreffend den EU-US-Datentransfer beschäftigen. Rechtsicherheit wird es nur geben, wenn sich die US-amerikanischen Bemühungen in klaren rechtstaatlichen Zusagen, wie z.B. dem Rechtsweg vor die US-Gerichte, widerspiegeln.

Ihre Ansprechpartner: