Die Übermittlung personenbezogener Daten in die USA ist ein schwieriges Thema. Innerhalb von weniger als einem Jahrzehnt wurden bestehende Rechtsgrundlagen schon zweimal gekippt. Nun nimmt die EU Kommission erneut Anlauf, um Datentransfers in die Vereinigten Staaten zu vereinfachen.
Das Kernproblem mit Drittstaaten
Datentransfers in Drittstaaten sind nicht ohne weiteres bzw. nur mit erhöhtem Aufwand möglich. Ein Angemessenheitsbeschluss der EU vereinfacht die Rahmenbedingungen enorm. Er besagt, dass in einem Drittstaat ein Datenschutzniveau gilt, das mit dem Niveau innerhalb des Europäischen Wirtschaftsraums (EWR) vergleichbar ist.
Über das Privacy Shield Abkommen konnten europäische Unternehmen einst Daten mit Personenbezug in die USA übermitteln. Doch im Rahmen des Schrems II Urteils des EuGH wurde das Abkommen gekippt, sodass für Datentransfers zusätzliche Garantien (z.B. mittels Standardvertragsklauseln) geschaffen werden müssen.
Doch Standardvertragsklauseln verkörpern nicht in jeder Situation eine komfortable Lösung. Ebenso kann es sich schwierig gestalten, explizite Einwilligungen der Betroffenen einzuholen. Insbesondere für die Bereitstellung von Diensten im Internet kann der fehlende Angemessenheitsbeschluss ein Hindernis darstellen.
Was die geplante Lösung für Unternehmen bedeutet
Nachdem das Privacy Shield Abkommen gekippt wurde, begannen Vertreter von EU und USA ihre Arbeit an einer neuen Lösung. Anfang Oktober hat US Präsident Joe Biden ein Dekret unterzeichnet. Die Executive Order „Enhancing Safeguards for United States Signals Intelligence Activities“ schafft die rechtliche Grundalge um den „Transatlantischen Datenschutzrahmen“ im US Recht umzusetzen.
Auf dieser Basis können europäische Unternehmen personenbezogene Daten übermitteln, sofern die teilnehmenden Unternehmen auf US-Seite die geltenden Voraussetzungen erfüllen. Zusätzliche Datenschutzgarantien, wie z.B. Standardvertragsklauseln, wären dann nicht mehr erforderlich.
Aufgrund der neuen rechtlichen Rahmenbedingungen sollten die Kritikpunkte, die mit dem Schrems II Urteil einhergingen, beseitigt sein. Konkret geht es um mehr Rechte für die Betroffenen, um ihre personenbezogenen Daten vor dem Zugriff durch US-Nachrichtendienste zu schützen. Darüber hinaus sollen Betroffene auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren zurückgreifen können, sollte eine Verwendung ihrer Daten durch US-Nachrichtendienste erfolgen.
Angemessenheitsbeschluss kommt voraussichtlich im Frühjahr 2023
Doch zunächst muss der Angemessenheitsbeschluss das Annahmeverfahren durchlaufen. Hierbei sind mehrere Schritte notwendig, unter anderem muss der Entwurf dem europäischen Datenschutzausschuss (EDSA) vorlegt werden. Angesichts dieses sowie weiterer Schritte ist es fraglich, ob der Beschluss noch in diesem Jahr kommt. Die meisten Experten gehen davon aus, dass die EU Kommission den endgültigen Angemessenheitsbeschluss im kommenden Frühjahr annimmt.