US-Datentransfer seit Juli 2020 nahezu unmöglich
Mit der so genannten Schrems II-Entscheidung des Europäischen Gerichtshofes (EuGH) am 16. Juli 2020 (C-311/18 / Data Protection Commissioner gegen Facebook Ireland Limited und Maximilian Schrems) wurde die bis dahin genutzte Möglichkeit Daten von EU-Bürgern an US-Anbieter zu übermitteln (das so genannte EU-US Privacy Shield) für nichtig erklärt. Dieser Weg wurde also mit sofortiger Wirkung gekappt.
Seitdem ist es für EU-Unternehmen unfassbar schwierig geworden, überhaupt noch rechtmäßig Daten mit US-Unternehmen auszutauschen. Und das, obwohl in einer digitalen vernetzten Welt der Austausch mit den globalen Playern (Apple, Microsoft, LinkedIn, Facebook/Meta, Google etc.) nicht wirklich eingestellt werden kann.
Naht die Rettung?
Schon direkt nach dem Urteil begannen Gespräche zwischen der EU und den USA, wie die Situation wieder verbessert werden kann. Es wurde sodann konkret über ein neues, EU-US Data Privacy Framework genanntes, Abkommen verhandelt.
Im Oktober 2022 hat US-Präsident Biden eine so genannte Executive Order (Dekret) unterzeichnet, die unter anderem Änderungen in den Zugriffsmöglichkeiten von US-Behörden (Geheimdiensten) und Rechtsschutzmöglichkeiten der EU-Bürger dagegen enthält. Diese Punkte waren Hauptursache dafür, dass der EuGH seinerzeit das Privacy Shield für unwirksam erklärt hat.
Daraufhin hat jetzt die EU einen Entwurf veröffentlicht (https://commission.europa.eu/document/e5a39b3c-6e7c-4c89-9dc7-016d719e3d12_en). Dieser Entwurf enthält einen neuen so genannten Angemessenheitsbeschluss. Darin sagt die EU inhaltlich, dass die USA nunmehr (wieder) ein dem EU-Datenschutz gleichwertiges Datenschutzniveau einhalten und daher auf Basis dieses Beschlusses künftig personenbezogene Daten aus der EU in die USA transferiert werden können.
Die EU-Staaten müssen der Empfehlung der EU-Kommission allerdings noch zustimmen.
Neue Basis für ungehinderten Datenverkehr in die USA
Der Entwurf für den neuen Angemessenheitsbeschluss bilde die Basis, damit personenbezogene Daten auf der Grundlage starker Schutzgarantien ungehindert zwischen der EU und den USA fließen können, heißt es in einer entsprechenden Mitteilung der EU-Kommission. Der Vorschlag soll nach Angaben der Brüsseler Behörde die vom EuGH in seiner Schrems-II-Entscheidung geäußerten Bedenken ausräumen. Konkret sei der US-Rechtsrahmen daraufhin geprüft worden, ob er Garantien biete, die mit denen der EU vergleichbar seien.
Zentrale Aspekte des Vorschlags
US-Unternehmen können sich dem Data Privacy Framework anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten. Dazu gehört etwa die Pflicht, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind. Auch geht es darum, den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden. Zudem sollen gegebenenfalls allen EU-Bürgerinnen und -Bürgern, deren personenbezogene Daten in einer gegen den Rahmen verstoßenden Art und Weise behandelt werden, verschiedene Rechtsbehelfe offenstehen (unter anderem unentgeltliche Streitbei-legungsverfahren und eine Schiedsstelle).
Darüber hinaus sieht der US-Rechtsrahmen bestimmte Beschränkungen und Garantien in Bezug auf den Zugang von US-Behörden zu Daten vor, insbesondere für Datenzugriffe zum Zwecke der Strafverfolgung und der nationalen Sicherheit. Dazu gehören die neuen, mit dem US-Dekret eingeführten Vorschriften, in denen die vom Gerichtshof der Europäischen Union im „Schrems II“-Urteil angeführten Kritikpunkte aufgegriffen werden:
Der Zugang der US-Nachrichtendienste zu europäischen Daten soll auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt sein; EU-Bürger sollen im Zusammenhang mit der Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren zurückgreifen können, das auch die Befassung eines neu geschaffenen Gerichts zur Datenschutzüberprüfung einschließt. Dieses Gericht soll etwaige Beschwerden von EU-Bürgerinnen und -Bürgern unabhängig untersuchen und beilegen, unter anderem durch die Anordnung verbindlicher Abhilfemaßnahmen.
Wie geht es jetzt weiter?
Sobald der Angemessenheitsbeschluss angenommen worden ist, können europäische Unternehmen personenbezogene Daten an teilnehmende Unternehmen in den Vereinigten Staaten übermitteln, ohne zusätzliche Datenschutzgarantien einführen zu müssen.
Der vorliegende Entwurf wird bis dahin geprüft und es kann auch noch zu Anpassungen und Ergänzungen kommen.
Zurzeit wird damit gerechnet, dass eine Annahme des Beschlusses im März 2023 erfolgen kann.
Was ist zu tun?
Sie können sich nicht automatisch auf das neue Framework berufen. Zunächst ist zu prüfen, ob das jeweilige US-Unternehmen sich dem Framework und seinem Regularium angeschlossen hat.
Dann ist die Grundlage für den Datentransfer anzupassen, was in der Regel über ein geschlossenes Data Privacy Agreement (DPA) geschieht. Das wird grundsätzlich vom US-Anbieter angepasst und veröffentlicht.
Nachdem dieses formell abgeschlossen wurde sind die bestehenden Datenschutzhinweise des EU-Unternehmens anzupassen. Denn jetzt ist die neue Legitimation für die Datenübermittlung der Angemessenheitsbeschluss. Darauf ist transparent hinzuweisen und zwar bei jedem einzelnen US-Anbieter, mit dem man personenbezogene Daten austauscht.
Wobei wir Ihnen helfen können?
Wir prüfen für Sie, ob „Ihr“ US-Anbieter sich dem Framework angeschlossen hat, klären daen Abschluss des neuen DPA zwischen diesem und Ihnen und wir passen Ihre bestehenden Datenschutzhinweise entsprechend an.
Danach sind Sie, was den US-Datentransfer angeht (endlich) wieder auf der (rechts)sicheren Seite.
Melden Sie sich jederzeit bei uns. Wir können die Texte für Sie auch im Vorfeld anpassen und so vorbereiten, dass Sie im richtigen Moment durch Austausch des alten Texts eingesetzt werden können.
Rufen Sie uns an oder schreiben Sie eine E-Mail und informieren Sie sich, was wir alles für Sie tun können:
Telefon: 0721 / 120 500
E-Mail: info@schutt-waetke.de
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht
Urheberangabe für das Foto für diesen Beitrag:
- Glhbirne – Bild auf Tafel: © psdesign1 - Fotolia.com