Die EU- Kommission hat am 10. Juli 2023 einen Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen.
Hintergrund
Der neue EU-USA-Datenschutzrahmen ist die rechtspolitische Antwort auf die beiden Schrems-Urteile des EuGH. Das Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 war eine Reaktion auf das Schrems-Urteil von 2015 und betraf den Datentransfer zwischen der Europäischen Union (EU) und den USA. Der EuGH erklärte das Privacy Shield-Abkommen, das den Datentransfer regelte, aufgrund eines unzureichenden Datenschutzniveaus für ungültig. Das Urteil führte zur Einführung von Standardvertragsklauseln als alternative Mechanismen für den Datentransfer. Diese Klauseln ermöglichen es Unternehmen, vertragliche Vereinbarungen zu treffen, um den Datenschutz bei der Übermittlung personenbezogener Daten in Drittländer zu gewährleisten.
Angemessenheitsbeschluss der EU-Kommission
Gemäß Artikel 34 Absatz 3 der Datenschutz-Grundverordnung kann die Europäische Kommission im Wege eines Durchführungsrechtsakts beschließen, dass ein Drittland ein angemessenes Schutzniveau für personenbezogene Daten bietet. Mit ihrem Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen stellt die EU-Kommission fest, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an US-Unternehmen übermittelt werden, die an dem Rahmen teilnehmen. Dies hat zur Folge, dass keine zusätzlichen Datenschutzgarantien mehr eingeführt werden müssen.
Datenschutzrahmen EU-USA
Der Rahmen sieht Beschränkungen des Zugriffs der US-Geheimdienste auf personenbezogene Daten aus der EU sowie die Einrichtung eines zweistufigen, niedrigschwelligen Rechtsbehelfsmechanismus durch die USA vor. Betroffene können eine Beschwerde bei ihrer nationalen Datenschutzbehörde einreichen, die diese an die entsprechende US-Behörde weiterleitet. Weitere Informationen über das Verfahren und das abschließende Ergebnis erhält der Betroffene von der jeweiligen Datenschutzbehörde. Der Betroffene muss nicht nachweisen, dass seine Daten tatsächlich von den US-Geheimdiensten erhoben und verwendet wurden. Darüber hinaus werden Beschwerden vom Europäischen Datenschutzausschuss an die USA weitergeleitet.
Der zweistufige Beschwerdemechanismus sieht auf der ersten Stufe vor, dass Beschwerden von den jeweiligen „Civil Liberties Protection Officers“ der US-Geheimdienste geprüft werden. Diese sind dafür verantwortlich, dass der jeweilige US-Geheimdienst (insgesamt 17 US-Geheimdienste) die Privatsphäre und die Grundrechte von EU-Bürgern achtet.
Ist die betroffene Person mit der auf der ersten Stufe getroffenen Entscheidung nicht einverstanden, kann sie diese vor dem neu zu schaffenden „Data Protection Review Court“ (DPRC) anfechten. Das DPRC wird sich aus Mitgliedern zusammensetzen, die nicht der US-Regierung angehören und über bestimmte Qualifikationen verfügen müssen. Darüber hinaus unterliegen sie keinen Weisungen der US-Regierung. Zu ihren Befugnissen gehört es unter anderem, relevante Informationen von den Nachrichtendiensten einzuholen und bei positiver Feststellung einer Verletzung des Abkommens die Löschung von Daten anzuordnen. Ähnlich der Funktion eines Generalanwalts beim EuGH soll ein Jurist mit einschlägiger Erfahrung das Gericht bei der Entscheidungsfindung unterstützen.
Ausblick
Die Europäische Kommission wird die Entwicklung des Datenschutzabkommens zwischen der EU und den USA kontinuierlich beobachten und ihren Angemessenheitsbeschluss regelmäßig überprüfen. Die erste Überprüfung findet innerhalb eines Jahres nach Inkrafttreten des Abkommens statt. Danach ist eine Überprüfung mindestens alle vier Jahre vorgesehen.
Max Schrems und seine Datenschutzorganisation „Noyb“ sehen das Abkommen kritisch und planen rechtliche Schritte gegen das neue Abkommen. Es sei eine Kopie des gescheiterten „Privacy Shield“ und die USA würden der Verhältnismäßigkeit eine andere Bedeutung beimessen als der EuGH.
Es bleibt abzuwarten, wie und wann der EuGH in der Sache entscheiden wird. Für Unternehmen, die transatlantische Geschäfte in den USA tätigen, besteht zunächst Rechtsklarheit über die Verarbeitung personenbezogener Daten.
Bild: EmDee, Belgique – Bruxelles – Schuman – Berlaymont – 01, CC BY-SA 4.0