Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss nach dem EU-U.S. Data Privacy Framework angenommen. Damit wird den USA ein im Vergleich zur Europäischen Union vergleichbares Datenschutzniveau attestiert. Für Verantwortliche ergeben sich hierdurch erhebliche Erleichterungen im Rahmen des Einsatzes US-amerikanischer Dienstleister. Doch an dem neuen Angemessenheitsbeschluss gibt es auch Kritik. Alle wichtigen Informationen erhalten Sie in diesem Beitrag.
Was ist ein Angmessenheitsbeschluss?
Die Europäische Kommission kann auf Grundlage des Art. 45 DS-GVO einen Beschluss treffen, nach welchem für ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau festgestellt wird. Gemäß Art. 45 Abs. 2 DS-GVO hat die Kommission hierbei folgende Kriterien zu berücksichtigen:
- Die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, einschlägige Rechtsvorschriften, auch in Bezug auf die öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie der Zugang der Behörden zu personenbezogenen Daten, die Anwendung dieser und datenschutzrechtlicher Vorschriften sowie die Möglichkeit zur Durchsetzung von Rechten der betroffenen Person und die Wirksamkeit der verwaltungsrechtlichen und gerichtlichen Rechtsbehelfe;
- Die Existenz und wirksame Funktionsweise unabhängiger Aufsichtsbehörden für die Einhaltung und Durchsetzung datenschutzrechtlicher Vorschriften, einschließlich angemessener Durchsetzungsbefugnisse sowie für die Unterstützung und Beratung von betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten;
- Die eingegangenen internationalen Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.
Sofern die Kommission unter Berücksichtigung der aufgeführten Kriterien eine Angemessenheit des Datenschutzniveaus feststellt, übernimmt diese die Aufgabe der regelmäßigen Überwachung, im Rahmen derer stets die aktuellen Entwicklungen innerhalb des Drittlandes oder der internationalen Organisation berücksichtigt werden.
Bisher verfügten folgende Länder und Gebiete über einen Angemessenheitsbeschluss der Europäischen Kommission: Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel, Japan, Jersey, Kanada (beschränkt auf Datenübermittlungen an „commercial organisations“), Neuseeland, Schweiz, Südkorea, Uruguay und das Vereinigte Königreich. Nun sind auch die USA in diesem Zusammenhang mit aufzuführen.
In die zuvor genannten Länder kann eine Übermittlung personenbezogener Daten auf Grundlage des Angemessenheitsbeschlusses erfolgen. Es bedarf sodann – neben der Beachtung der sonstigen datenschutzrechtlichen Vorschriften – keiner weiteren besonderen Vorkehrungen, wie beispielsweise des Abschlusses von Standardvertragsklauseln und der Durchführung einer Transferfolgenabschätzung.
Was ist das EU-U.S. Data Privacy Framework?
Nachdem im März 2022 bekannt wurde, dass die EU und die USA an einem Nachfolgeabkommen zum EU-US-Privacy Shield arbeiten, erfolgte im Oktober 2022 der Erlass einer Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten (Executive Order (EO) 14086). Hierdurch wurde die Grundlage für die Umsetzung des „EU-U.S. Data Privacy Framework“ geschaffen. Auf Grundlage der Executive Order folgte am 13. Dezember 2022 der Beschlussentwurf der Europäischen Kommission über die Angemessenheit des Schutzniveaus personenbezogener Daten nach dem EU-U.S. Data Privacy Framework (wir berichteten).
Das EU-U.S. Data Privacy Framework räumt Bürgern der Europäischen Union gegenüber US-amerikanischen Unternehmen neue Rechte ein (z.B. das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung unrichtiger oder unrechtmäßig verarbeiteter personenbezogener Daten). Weiterhin bestehen verschiedene Rechtsbehelfe sowie unabhängige Streitbeilegungsmechanismen und ein Schlichtungsgremium. Die US-amerikanischen Unternehmen können ihre Teilnahme am EU-U.S. Data Privacy Framework zertifizieren lassen, indem diese sich verpflichten, verschiedene datenschutzrechtliche Anforderungen (z.B. Zweckbindung, Datenminimierung) einzuhalten. Die Zertifizierungsanträge werden durch das US-Handelsministerium bearbeitet. Dieses überwacht ebenfalls, ob die teilnehmenden Unternehmen die Zertifizierungsanforderungen weiterhin erfüllen.
Welche Beschränkungen gelten nun hinsichtlich US-amerikanischer Ermittlungsbehörden?
Bezugnehmend auf die Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten (Executive Order (EO) 14086) führt die Europäische Kommission im Rahmen ihrer Presseerklärung folgende Punkte an:
- Verbindliche Garantien, die den Zugriff auf Daten durch US-Nachrichtendienste auf das beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist;
- eine verstärkte Aufsicht über die Aktivitäten der US-Geheimdienste, um die Einhaltung der Beschränkungen von Überwachungsmaßnahmen zu gewährleisten; und
- die Einrichtung eines unabhängigen und unparteiischen Rechtsbehelfsmechanismus, zu dem auch ein neues Datenschutzprüfungsgericht gehört, das Beschwerden über den Zugriff der nationalen Sicherheitsbehörden der USA auf ihre Daten untersucht und entscheidet.
Für welchen Zeitraum gilt der Angemessenheitsbeschluss?
Der Angemessenheitsbeschluss trat mit seiner Annahme am 10. Juli 2023 in Kraft und gilt zunächst unbefristet. Zu beachten ist jedoch, dass es zunächst einer Zertifizierung teilnehmender Unternehmen unter dem EU-U.S. Data Privacy Framework bedarf, bevor Datenübermittlungen auf Grundlage des Angemessenheitsbeschlusses rechtssicher erfolgen können.
Kritik an dem neuen Angemessenheitsbeschluss äußerte bereits Max Schrems sowie die von ihm gegründete NGO „noyb“. Nachdem Schrems vor dem Europäischen Gerichtshof bereits das Kippen der beiden vorhergehenden Angemessenheitsbeschlüsse („Safe Harbor„, „Privacy Shield„) erreichte, scheint es nur eine Frage der Zeit zu sein, bevor der Europäische Gerichtshof auch über das EU-U.S. Data Privacy Framework entscheiden müssen wird.
Update 13. Juli 2023:
Die International Trade Administration (ITA), eine Behörde des Handelsministeriums der Vereinigten Staaten, weist auf ihrer Internetseite darauf hin, dass die Unternehmen, welche bereits unter dem EU-U.S.-Privacy Shield zertifiziert waren, keine gesonderte Zertifizierung nach dem EU-U.S. Data Privacy Framework benötigen. Konkret heißt es:
„The EU-U.S. DPF Principles entered into effect as of the same date. U.S. based organizations that self-certified their commitment to comply with the EU-U.S. Privacy Shield Framework Principles must comply with the EU-U.S. DPF Principles, including by updating their privacy policies by October 10, 2023. Those organizations do not need to make a separate, initial self-certification submission to participate in the EU-U.S. DPF and may begin relying immediately on the EU-U.S. DPF adequacy decision to receive personal data transfers from the European Union / European Economic Area.“
Weiterhin wird durch die ITA am 17. Juli 2023 die offizielle Internetseite zum Data Privacy Framework veröffentlicht.
UPDATE 17. JUli 2023:
Die offizielle Internetseite zum Data Privacy Framework wurde heute veröffentlicht. Von nun an können Datenübermittlungen in die USA auf Grundlage des Angemessenheitsbeschlusses gestützt werden, sofern der Empfänger nachprüfbar unter dem Data Privacy Framework zertifziert ist. Die bestehenden Zertifizierungen können auf der Internetseite unter dem Menüpunkt „Data Privacy Framework List“ eingesehen werden.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
