Übermittlung von Daten in die USA – der Angemessenheitsbeschluss der Europäischen Kommission

Am 13. Dezember 2022 hat die Europäische Kommission den Entwurf eines Angemessenheitsbeschlusses für die Übermittlung personenbezogener Daten in die USA veröffentlicht. Der Beschlussentwurf folgt auf die Nichtigerklärung eines früheren Beschlusses durch den Europäischen Gerichtshof im Jahr 2020, der einen sicheren Rahmen für Datenübermittlungen in die USA geschaffen hatte. Auslöser für das Urteil waren Bedenken, dass die US-Geheimdienste Zugriff auf europäische personenbezogene Daten haben und dass EU-Bürgern keine unabhängigen Rechtsmittel gegen eine solche Verarbeitung zustehen.

In Ermangelung eines Beschlusses erfolgt die Übermittlung personenbezogener Daten in die USA grundsätzlich gemäß Standardvertragsklauseln und unter der Voraussetzung, dass das Risiko bei der Übermittlung durch zusätzliche Schutzmechanismen gemindert wird. Die Verabschiedung einer Entscheidung, die ein angemessenes Datenschutzniveau feststellt, würde bedeuten, dass die Datenübermittlung in die USA wieder aufgenommen wird, ohne dass zusätzliche Sicherheiten in dieser Hinsicht erforderlich sind. Bei günstigen Bedingungen könnte der Beschluss im zweiten Quartal 2023 gefasst werden.

Datenverarbeitung in den USA – Privacy Shield, Schrems II und Executive Order

Bis Juli 2020 erfolgte die Verarbeitung von Daten in die USA unter dem sogenannten Privacy Shield, einem Beschluss der Kommission, der eine solche Verarbeitung erlaubte und keine besondere Genehmigung oder zusätzliche Legalisierungsschritte erforderte.

Am 16. Juli 2020 hat der Europäische Gerichtshof jedoch das sog. Schrems II – Urteil erlassen, in dem er den Privacy Shield für ungültig erklärte. Die Aufhebung des Privacy Shield wurde durch die Tatsache diktiert, dass US-Geheimdienste Zugang zu den übermittelten Daten hatten und EU-Bürgern keine unabhängigen Rechtsmittel gegen eine solche Verarbeitung zustanden.

Nach dem Urteil ist eine Verarbeitung in die USA im Rahmen der so genannten Standardvertragsklauseln weiterhin möglich, das Verfahren ist jedoch komplizierter geworden. Dies ist vor allem auf die Feststellung des Gerichtshofs zurückzuführen, dass „es Situationen gibt (…), in denen die in diesen Klauseln enthaltenen Bestimmungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis einen wirksamen Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten. Dies ist insbesondere dann der Fall, wenn das Recht dieses Drittlandes es seinen Behörden erlaubt, in die Rechte der betroffenen Personen einzugreifen“, wie es in den USA der Fall ist. In diesem Fall wären zusätzliche Sicherheitsvorkehrungen erforderlich, um die mit der Übermittlung in die USA verbundenen Risiken für die Privatsphäre zu mindern. Solche Maßnahmen sollten dokumentiert werden (TIA). Derzeit bemühen sich die USA und die EU um einen neuen Kompromiss, der den aufgehobenen Privacy Shield ersetzen und die sichere Datenverarbeitung in die USA garantieren soll.

Im März 2022 haben die Europäische Kommission und die USA eine gemeinsame Erklärung zu einem neuen EU-US Datenschutzrahmen veröffentlicht. Dies führte im Oktober 2022 zur Unterzeichnung einer Durchführungsverordnung (Executive Order) zur Stärkung der Sicherheitsvorkehrungen für US „Signals Intelligence Activities“ durch Präsident Biden. Der Vorschlag der Kommission für einen Beschluss ist Folge der oben genannten Durchführungsverordnung.

Welche Schritte folgen, bis der Angemessenheitsbeschluss gefasst wird?

  • Zunächst wird der Entscheidungsentwurf dem Europäischen Datenschutzausschuss zur Stellungnahme vorgelegt.
  • Der Entwurf wird dann zur Genehmigung an einen Ausschuss weitergeleitet, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt.
  • Nach Abschluss des genannten Verfahrens kann die Kommission den endgültigen Angemessenheitsbeschluss fassen.
  • Mit der Fassung des Beschlusses ist frühestens im Frühjahr 2023 zu rechnen. Nach seiner Verabschiedung wird der Beschluss in regelmäßigen Abständen überprüft, um festzustellen, ob alle relevanten Elemente der amerikanischen rechtlichen Rahmenbedingungen vollständig umgesetzt wurden und in der Praxis wirksam funktionieren. Sobald der Beschluss verabschiedet wurde, kann er auch vor den nationalen und europäischen Gerichten angefochten werden.

Wichtige Elemente des Angemessenheitsbeschlusses der Europäischen Kommission

Laut Informationen des Internetportals der Europäischen Kommission besteht der Beschluss aus einigen wichtigen Elementen:

  • Um den transatlantischen Datenschutzrahmen einzuhalten, müssen US-Unternehmen eine Reihe von Datenschutzpflichten einhalten, z. B. die Pflicht zur Löschung personenbezogener Daten, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr benötigt werden.
  • EU-Bürger, deren personenbezogene Daten unter Verstoß gegen den Datenschutzrahmen verarbeitet werden, haben mehrere Möglichkeiten Ansprüche geltend zu machen, z. B. die kostenlose Inanspruchnahme von Streitbeilegungsverfahren und einer Schiedsstelle.
  • Einführung einer Reihe von Beschränkungen und Sicherheitsvorkehrungen für den Zugang von US-Behörden zu Daten, auch zu Zwecken der Strafverfolgung und der nationalen Sicherheit, z. B. durch die Beschränkung des Zugriffs von US-Geheimdiensten auf europäische Daten auf das zum Schutz der nationalen Sicherheit Notwendige und Angemessene.
  • Einführung eines neuen Gerichts zur Datenschutzueberprüfung, das sich mit Fällen befassen soll, in denen EU-Bürger Rechtsmittel gegen die Erhebung und Verwendung ihrer Daten durch US-Geheimdienste einlegen können.

Wie wird der Beschlussentwurf von Datenschutzorganisationen bewertet?

Da der Entscheidungsentwurf erst vor kurzem veröffentlicht wurde, haben sich Einzelpersonen und Datenschutzorganisationen noch nicht zu diesem Thema geäußert. Es bleibt in den kommenden Wochen abzuwarten, wie der Entscheidungsentwurf aufgenommen wird. Es ist jedoch erwähnenswert, dass Max Schrems, Mitbegründer der europäischen gemeinnützigen Organisation noyb („none of your business“), deren Klage gegen die Facebook Ireland Ltd. zum Schrems-II-Urteil führte und die strategische Rechtsstreitigkeiten nutzt, um das Grundrecht auf Datenschutz und Privatsphäre durchzusetzen, sich wie folgt geäußert hat: „Wir werden den Entscheidungsentwurf in den kommenden Tagen eingehend prüfen. Da sich der Entscheidungsentwurf auf eine bekannte Durchführungsverordnung stützt, sehe ich nicht, wie er einer Anfechtung vor dem Gerichtshof standhalten könnte. Es hat den Anschein, dass die Europäische Kommission einfach immer wieder ähnliche Entscheidungen erlässt – unter eklatanter Verletzung unserer Grundrechte. „