Mit dem Angemessenheitsbeschluss der Europäischen Kommission, der am 10. Juli 2023 verkündet wurde, eröffnen sich neue Perspektiven für transatlantische Datenübermittlungen zwischen der EU und den USA. Dieser Beschluss stellt einen Meilenstein im Rahmen des EU-US-Datenschutzrahmens dar und bietet eine rechtliche Grundlage für den Datentransfer, der den Grundsätzen der Datenschutz-Grundverordnung (DSGVO) entspricht. In diesem Artikel werden wir die Hintergründe, Auswirkungen und Möglichkeiten dieses Angemessenheitsbeschlusses genauer beleuchten.

Hintergrund

Die Europäische Kommission ist berechtigt, durch einen Angemessenheitsbeschluss festzustellen, ob ein Drittland ein angemessenes Datenschutzniveau gewährleistet. Zuvor waren die Rahmenregelungen „Safe Harbor“ und „Privacy Shield“ vom Europäischen Gerichtshof (EuGH) für ungültig erklärt worden, da Bedenken hinsichtlich der Massenüberwachung von EU-Bürgern durch die US-Regierung bestanden. Als Reaktion darauf einigten sich die Europäische Kommission und die US-Regierung auf ein neues transatlantisches Abkommen, das EU-U.S. Data Privacy Framework (DPF), das den Weg für den Angemessenheitsbeschluss ebnete.

Der Angemessenheitsbeschluss und seine Auswirkungen

Gemäß dem Angemessenheitsbeschluss der Europäischen Kommission bietet die USA nun ein angemessenes Datenschutzniveau für personenbezogene Daten, die aus der EU in die USA übermittelt werden. Dies gilt jedoch nur für Organisationen in den USA, die die DPF-Prinzipien (EU-U.S. Data Privacy Framework Principles) zertifiziert haben und in der vom US-Handelsministerium geführten „Data Privacy Framework List“ aufgeführt sind.

Das DPF stellt eine deutliche Verbesserung im Vergleich zu den vorherigen Rahmenregelungen dar. Insbesondere wurden Änderungen eingeführt, die den Zugang der US-Regierung zu personenbezogenen Daten beschränken und Rechtsbehelfsmechanismen für Einzelpersonen schaffen, um mögliche Verstöße gegen die Datenschutzgrundsätze anzufechten. Der Datenschutzüberprüfungsgericht (Data Protection Review Court) wurde als unabhängiges Gericht eingerichtet, das EU-Bürgern Zugang bietet.

Die Europäische Kommission wird die Anwendung der DPF regelmäßig überwachen, um sicherzustellen, dass ein angemessenes Schutzniveau gewährleistet bleibt. Im Falle von Bedenken kann die Kommission den Angemessenheitsbeschluss aussetzen, ändern oder aufheben. Die erste Überprüfung ist für Juli 2024 geplant, um die Umsetzung der Executive Order 14086 und deren Wirksamkeit zu bewerten.

Mechanismus der Selbstzertifizierung und seine Bedeutung

Um von dem DPF zu profitieren, müssen US-Organisationen, die personenbezogene Daten aus der EU erhalten möchten, ihre Einhaltung der DPF-Grundsätze selbst zertifizieren. Dieser Prozess erfordert die Entwicklung einer konformen Datenschutzpolitik und die Festlegung eines unabhängigen Regressmechanismus. Die Selbstzertifizierung erfolgt über die Website, die vom US-Handelsministerium bereitgestellt wird.

Für Datenexporteure aus der EU ist es wichtig, zu überprüfen, ob der Empfänger in den USA nach den DPF-Grundsätzen zertifiziert ist. Die aktualisierten Datenschutzhinweise müssen Informationen über die DPF-Prinzipien enthalten. Unternehmen, die bereits unter dem Privacy Shield zertifiziert sind, werden wahrscheinlich kontaktiert, um die nächsten Schritte für eine mögliche erneute Zertifizierung unter der DPF zu besprechen.

Auswirkungen auf Unternehmen und Empfehlungen

Das DPF eröffnet Unternehmen neue Möglichkeiten für den Datentransfer zwischen der EU und den USA. Der Angemessenheitsbeschluss der Europäischen Kommission ist bindend, sodass die EU-Datenschutzbehörden diesen als gültigen Mechanismus akzeptieren müssen. Unternehmen sollten ihre Datenschutzhinweise aktualisieren und prüfen, ob die DPF-Grundsätze vollständig eingehalten werden.

Es ist wichtig zu beachten, dass andere Mechanismen wie Standardvertragsklauseln und verbindliche unternehmensinterne Vorschriften weiterhin relevant sein können. Unternehmen sollten die Auswirkungen des Angemessenheitsbeschlusses auf bestehende Datenzugangsregelungen und Vereinbarungen berücksichtigen. Da die Kommission im Wesentlichen bestätigt hat, dass die von den USA getroffenen Maßnahmen die Mängel des US-amerikanischen Rechts ausgleicht, die der EuGH in der Schrems-II-Entscheidung identifiziert hat, kann argumentiert werden, dass das US-amerikanische Recht im Rahmen der Übertragungsfolgenbewertung (TIA) im Wesentlichen gleichwertig ist. Dies gilt vorausgesetzt, dass jede solche Übertragung in die USA auf den EU-Standardvertragsklauseln oder den verbindlichen unternehmensinternen Regeln basiert.

Zusammenfassend kann festgestellt werden, dass der Angemessenheitsbeschluss der Europäischen Kommission neue Möglichkeiten für transatlantische Datenübermittlungen eröffnet. Unternehmen sollten die DPF-Grundsätze genau prüfen und sicherstellen, dass sie den Anforderungen entsprechen, um von den Vorteilen dieses Beschlusses zu profitieren.

Fazit

Der Angemessenheitsbeschluss der Europäischen Kommission markiert einen wichtigen Schritt zur Schaffung einer rechtlichen Grundlage für den Datentransfer zwischen der EU und den USA. Die DPF bietet eine neue Möglichkeit, personenbezogene Daten unter Berücksichtigung der DSGVO zu übermitteln. Unternehmen sollten die DPF-Grundsätze umsetzen und ihre Datenschutzpraktiken entsprechend anpassen, um die Vorteile dieses Angemessenheitsbeschlusses zu nutzen. Mit diesem Beschluss wird zunächst eine verlässliche Grundlage für transatlantische Datenübermittlungen geschaffen, die sowohl den Schutz der Privatsphäre als auch die Bedürfnisse der Wirtschaft berücksichtigt.

Christian Krösch