Neues zum Datenschutzrecht
16.12.2022
verarbeitung in den USA: Verfahren für Angemessenheitsbeschluss eingeleitet
Die EU-Kommission hat das Verfahren zur Annahme eines Angemessenheitsbeschlusses für eine Datenverarbeitung in den USA eingeleitet (s. Pressemitteilung v. 13.12.2022). Der Entwurf des 134 Seiten umfassenden Beschlusses kann auf den Seiten der EU-Kommission oder direkt hier heruntergeladen werden.
Der Angemessenheitsbeschluss selbst umfasst zwar nur 4 Artikel, wird aber auf fast 57 Seiten mit 215 Erwägungsgründen begründet. Schließlich gibt es noch einige Anhänge z.B. Schreiben diverser US-Behörden wie dem Department of Commerce und dem Justizministerium, in denen unter Bezugnahme auf die „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ erläutert wird, welche Zusicherungen die US-Seite gegeben hat und wie diese gemeint sind.
Die Exekutivanordnung zur Implementierung eines neuen EU-USA-Datenschutzabkommens bildet auf Seiten der USA die rechtliche Basis für ein neues Datenschutzabkommen zwischen der EU und den USA. Sie enthält die Regelungen, mit denen die Vorgaben des EuGH umgesetzt und so die Grundlage für einen Angemessenheitsbeschluss der EU-Kommission gem. 45 DSGVO geschaffen werden sollen. Kernpunkte der Executive Order sind Regelungen zur Datenverarbeitung im Rahmen von Überwachungsmaßnahmen durch US-Geheimdienste und zum Beschwerdeverfahren (Details dazu s. Datenschutz-News v. 8.10.2022).
Kernpunkte des Angemessenheitsbeschlusses (Entwurf)
Der neue Angemessenheitsbeschluss sieht wie sein „Vorgänger“ (EU-US Privacy Shield) vor, dass US-Unternehmen sich zur Einhaltung detaillierter Datenschutzvorgaben verpflichten können. Zudem sollen EU-Bürgern verschiedene Rechtsbehelfe wie unentgeltliche Streitbeilegungsverfahren und eine Schiedsstelle offenstehen (Details dazu s. Datenschutz-News v. 8.10.2022)
Regelmäßige Überprüfung
Die Funktionsweise des neuen Datenschutzrahmens soll regelmäßig überprüft werden, um zu ermitteln, ob alle einschlägigen Elemente des US-Rechtsrahmens vollständig umgesetzt wurden und in der Praxis wirksam funktionieren. Diese Überprüfung soll gemeinsam von der Europäischen Kommission und den europäischen Datenschutzbehörden sowie von den zuständigen US-Behörden durchgeführt werden und erstmalig binnen eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses erfolgen.
Hintergrund
Der Europäische Gerichtshof (EuGH) hat am 16.7.2020 die Regelungen des EU-US-Privacy Shield („Privacy Shield“) – dem „Nachfolger“ von Safe Harbor – für unwirksam erklärt. Dieses Gerichtsurteil (Az. C-311/18) hatte weitreichende Folgen für Übermittlungen personenbezogener Daten in die USA, aber auch in andere Drittländer.
Eine Datenübermittlung in ein Drittland ist gemäß Art. 45 Abs. 1 DSGVO zulässig, wenn die EU-Kommission für dieses Drittland ein angemessenes Datenschutzniveau festgestellt hat. Für die USA gab es diesen Angemessenheitsbeschluss in Bezug auf die Regelungen des Privacy Shield vom 12.7.2016, der vom EuGH im Jahr 2020 für ungültig erklärt wurde, wie es das Gericht bereits mit dem Vorgänger des Privacy Shield, den Safe Harbor-Regelungen getan hat.
Liegt kein Angemessenheitsbeschluss der EU-Kommission vor, ist eine Datenübermittlung in Drittländer nach Art. 46 Abs. 1 DSGVO zulässig, wenn Verantwortliche oder Auftragsverarbeiter geeignete Garantien hinsichtlich des auf die konkrete Datenübermittlung bezogenen Datenschutzniveaus vorsehen und den betroffenen Personen durchsetzbare Rechte sowie effektive Rechtsmittel zur Verfügung stehen. Diese Garantien können gemäß Art. 46 Abs.2 DSGVO unter anderem in verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules) und Standarddatenschutzklauseln bestehen. Allerdings entbindet der Einsatz zum Beispiel von Standarddatenschutzklauseln nicht von der datenschutzrechtlichen Verantwortlichkeit für das Vorliegen ausreichender Garantien für den Schutz der personenbezogenen Daten in dem konkreten Drittland. Daran hat sich auch mit den neuen Standardvertragsklauseln nichts geändert (s. dazu Datenschutz-News v. 9.7.2021).
Da die Standarddatenschutzklauseln keine Garantien bieten können, die über die vertragliche Verpflichtung hinausgehen, für die Einhaltung des angemessenen Schutzniveaus zu sorgen, kann es in Abhängigkeit von der konkreten Lage in einem Drittland erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten. Das wird regelmäßig der Fall sein bei hoheitlichen Zugriffsmöglichkeiten und insoweit fehlenden hinreichenden Rechtsbehelfen für die betroffenen Personen mit der Folge, dass kein angemessener Schutz vor einem behördlichen Zugriff auf die Daten besteht. Da der EuGH gerade aufgrund dieser beiden Aspekte für Datenübermittlungen in die USA festgestellt hat, dass dort ein angemessenes Schutzniveau nicht durchgängig gewährleistet ist, müssen hier beim Einsatz von Standarddatenschutzklauseln zusätzliche Garantien geschaffen werden.
In jedem Fall obliegt es dem Verantwortlichen – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Daten bzw. mit dessen Unterstützung – zu prüfen, ob das Recht des Drittlandes nach Maßgabe des EU-Rechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet. Erst nach einer solchen Risikoprüfung (sog. TIA – Transfer Impact Assessment) unter Berücksichtigung der Rechtslage und der Praxis im betreffenden Drittland können die Standarddatenschutzklauseln zum Einsatz kommen – entweder allein oder erforderlichenfalls mit zusätzlichen Garantien. Wie diese zusätzlichen Garantien insbesondere im Fall der USA konkret aussehen müssen bzw. können, ist derzeit unklar. Fest steht, dass eine lediglich vertragliche Zusatzregelung nicht ausreichen kann, weil sie die Behörden und sonstigen staatlichen Organe der USA gerade nicht binden.
Kann der in der Union ansässige Verantwortliche keine hinreichenden zusätzlichen Maßnahmen ergreifen, um den erforderlichen Schutz zu gewährleisten, ist die Datenübermittlung auf der Grundlage von Standarddatenschutzklauseln nicht möglich. Eine bereits laufende Datenübermittlung in Drittländer muss ausgesetzt oder beendet werden, wenn das Recht des Drittlandes aufgrund von Änderungen nach Verarbeitungsbeginn keinen angemessenen Schutz der übermittelten Daten mehr gewährleistet und keine hinreichenden zusätzlichen Maßnahmen ergriffen werden (können), um diesen Schutz wieder herzustellen.
Wie geht es weiter?
Nachdem die EU-Kommission den Entwurf des Angemessenheitsbeschlusses dem Europäischen Datenschutzausschuss (EDSA) zur Stellungnahme vorgelegt hat, muss die Zustimmung der EU-Mitgliedstaaten eingeholt werden. Schließlich hat das Europäische Parlament ein Recht auf die Kontrolle von Angemessenheitsbeschlüssen. Das EU-Parlament kann den Angemessenheitsbeschluss über ein Einspruchsverfahren nur als Ganzes verhindern, was aber als unwahrscheinlich gilt. Nach Abschluss dieses Verfahrens kann die Kommission den Angemessenheitsbeschluss final annehmen.
Fazit
Die Einleitung des Verfahrens zur Annahme des Angemessenheitsbeschlusses ist ein wichtiger Schritt zur Lösung des datenschutzrechtlichen Problems bei der Datenverarbeitung in den USA. Sobald der Angemessenheitsbeschluss angenommen worden ist, können personenbezogene Daten an teilnehmende Unternehmen in den Vereinigten Staaten ohne zusätzliche Datenschutzgarantien übermittelt werden. Im Übrigen sollen sich europäische Unternehmen auf die US-Garantien für Datenübermittlungen auch dann verlassen können, wenn sie Standarddatenschutzklauseln oder verbindliche unternehmensinterne Vorschriften nutzen. Das ist entscheidend, z.B. wenn sich das US-Unternehmen nicht selbst verpflichtet hat.
Ob der in Aussicht stehende Angemessenheitsbeschluss die DSGVO-Vorgaben im Sinne der Rechtsprechung des EuGH tatsächlich erfüllen wird, ist jedoch fraglich. Das sieht auch Max Schrems so, der zwar eine detaillierte Prüfung des Entwurfs angekündigt hat, sich aber bereits jetzt unter Bezugnahme auf frühere Einschätzungen der Executive Order und US-Garantien entsprechend festgelegt hat. Hier wird der EuGH wohl wieder das letzte Wort haben.
Es kann wohl von einem Angemessenheitsbeschluss in 2023 ausgegangen werden. Das sollte bei der Frage von Datenübermittlungen in die USA auch strategisch berücksichtigt werden. Allerdings ist bis dahin weiterhin keine Lösung der Problematik von Datentransfers in die USA in Sicht. Den Aufsichtsbehörden wird es – nicht nur bei einer anlassunabhängigen oder anlassbezogenen Kontrolle – nicht reichen, wenn man sich als Verantwortlicher darauf beruft, dass ein Angemessenheitsbeschluss in Aussicht steht. Das damit einhergehende Rechtsrisiko einer rechtswidrigen Datenübermittlung bleibt - trotz einer etwaigen Anwendung der neuen Standardvertragsklauseln und Durchführung eines Transfer Impact Assessments (TIA) - vorerst bestehen. Vor diesem Hintergrund sollten die notwenigen Prozesse zur Überprüfung und Bewertung von Datenübermittlungen in die USA einstweilen beibehalten werden.
Sollten Sie Fragen zur Datenübermittlung in die USA oder andere Drittländer oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht