Neuer Angemessenheitsbeschluss für Datenverkehr mit den USA

Berlin, 11.07.2023

Die EU-Kommission und die USA hatten sich über die Inhalte des Trans-Atlantic Data Privacy Frameworks („TADPF“) abgestimmt und US-Präsident Biden hatte die „Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities“ („EO 14086“) unterzeichnet. Damit war der Weg frei für den Angemessenheitsbeschluss der EU-Kommission, der am 10. Juli 2023 verabschiedet wurde (zu finden unter: https://commission.europa.eu/ document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en).

Hintergrund

Bereits Anfang diesen Jahres veröffentlichte die EU-Kommission den ersten Entwurf eines Angemessenheitsbeschlusses, nachdem die EO 14086 die rechtliche Grundlage für neue Datenschutzstandards in den USA legte (hierzu berichtete bereits Herr Dr. Valentin Zipfel im Legal Update vom 10. Januar 2023). Bei dem TADPF handelt es sich um eine Vereinbarung zwischen der EU-Kommission und dem US-Handelsministerium, in dem sich die USA darüber hinaus verpflichten, ihre Datenschutzstandards zu verbessern. Der Entwurf des Angemessenheitsbeschlusses wurde nun nach Annahme durch die Mitgliedstaaten verabschiedet und tritt unmittelbar in Kraft. Nach geringfügigen Anpassungen im Anschluss an die Empfehlungen des European Data Protection Board (hierzu berichtete bereits Frau Dr. Andrea Kirsch im Legal Update vom 1. März 2023) und Beratungen mit den Mitgliedstaaten entspricht der verabschiedete Angemessenheitsbeschluss im Wesentlichen dem ursprünglichen Entwurf der EU-Kommission. Hierbei bewertet sie insbesondere die Verpflichtungen aus dem TADPF und der EO 14086 als ausreichend, um von einem angemessenen Datenschutzniveau in den USA auszugehen.

Rechtliche Einordnung

Der neue Angemessenheitsbeschluss umfasst – anders als im Fall von Großbritannien oder der Schweiz – nicht per se alle Unternehmen mit Sitz in den USA. Dort ansässige Unternehmen müssen vielmehr zunächst ein Zertifizierungsverfahren durchlaufen, um sich auf den Angemessenheitsbeschluss berufen zu dürfen. Hierbei muss sich das Unternehmen zur Einhaltung der Datenschutzstandards des TADPF verpflichten und entsprechende Datenschutzrichtlinien vorlegen. Ein ähnliches Verfahren war bereits unter dem Privacy Shield vorgesehen. Zertifizierte Unternehmen werden anschließend in einem Register geführt. Aufgrund der wirtschaftlichen Tragweite des transatlantischen Datentransfers kann davon ausgegangen werden, dass alle großen US-Anbieter zeitnah die Zertifizierung vornehmen.

Nach dieser Zertifizierung ist ein Datentransfer – und damit die Einbindung des jeweiligen US-Anbieters bei Datenverarbeitungen grundsätzlich DSGVO-konform möglich (Art. 45 DSGVO).

Handlungsbedarf für Unternehmen

Bisher war Voraussetzung für den US-Transfer, dass die Parteien andere Garantie, vor allem Standardvertragsklauseln der EU abgeschlossen hatten, ein sogenanntes Transfer Impact Assessment („TIA“) durchführten und in der Regel noch weitere Sicherungsmaßnahmen umsetzten. Dies wäre nun faktisch obsolet. Es wäre allerdings verfrüht, diese zusätzlichen Schutzmaßnahmen komplett über Bord zu werfen. Insbesondere ein TIA kann zusätzlichen Schutz vor potenziellen Risiken beim Datentransfer liefern.

Handlungsbedarf ergibt sich für Unternehmen insbesondere im Hinblick auf im Einsatz befindliche Datenschutzhinweise. Nach Art. 13 Abs. 1 lit.c DSGVO handelt es sich bei der Angabe der Rechtsgrundlage für Datentransfers um Pflichtangaben gegenüber Betroffenen. Bisher verbreitete Formulierungen in Datenschutzhinweisen, wonach der Datentransfer in die USA mit rechtlichen Risiken verbunden ist und auf Grundlage der Standardvertragsklauseln sowie weiterer Maßnahmen erfolgt, kann nun durch den bloßen Verweis auf Art. 45 DSGVO ersetzt werden. Geprüft werden sollte auch Änderungsbedarf am Verzeichnis von Verarbeitungstätigkeiten.

Ausblick

Unweigerlich verbunden mit dem neuen Angemessenheitsbeschluss ist die Frage nach dessen zukünftigem Bestand. Spätestens seit Erlass der zugrundeliegenden EO 14086 wurden die Überlegungen zum neuen Angemessenheitsbeschluss von vielen Seiten stark kritisiert. Im Zentrum der Kritik steht, dass eine Executive Order kein förmliches Gesetz ist und vom jeweiligen US-Präsidenten jederzeit auch wieder abgeschafft werden kann. Diese Tatsache könnte bereits im Hinblick auf die Präsidentschaftswahlen in den USA im November 2024 relevant werden. Würde ein anderer US-Präsident die EO 14086 zurücknehmen, würde auch eine wesentliche Grundlage des Angemessenheitsbeschlusses wegfallen. Es gilt zudem als sicher, dass der Europäische Gerichtshof auch das TAPDF dahingehend überprüfen wird, ob sich die USA hierin zu ausreichenden Maßnahmen verpflichten, um von einem Datenschutzniveau auszugehen, dass dem der DSGVO entspricht („Schrems III“: Die NGO „nyob“, hinter der Datenaktivist Maximilian Schrems steht, hat bereits eine entsprechende Klage angekündigt). Der Ausgang eines Verfahrens vor dem Europäischen Gerichtshof bleibt offen. Die lang ersehnte Rechtssicherheit beim Datentransfer mit den USA könnte daher nur von begrenzter Dauer sein.

Newsletter Icon

Keine Neuigkeiten verpassen.

Zur Newsletter-Anmeldung

goep_0459_290622

Einige der von uns gesetzten Cookies dienen dazu, bestimmte Funktionen unserer Webseiten zu ermöglichen, insbesondere zur Steuerung des Cookie-Banners (damit dieses bei Ihren erneuten Besuchen nicht immer wieder angezeigt wird). Diese Cookies enthalten keine personenbezogenen Daten, insbesondere nicht Ihre IP-Adresse. Andere Cookies, die zu Analysezwecken gesetzt werden (siehe hierzu auch den Abschnitt „Web-Analyse-Tools“), helfen uns zu verstehen, wie Besucher mit unseren Webseiten interagieren. Diese Cookies dienen dazu, die Nutzung unserer Webseiten statistisch zu erfassen und zum Zwecke der Optimierung unseres Angebotes auszuwerten. Die Analyse-Cookies werden bis zu 13 Monate gespeichert.