Mit seinem Urteil vom 16. Juli 2020 hat der EuGH den Nachweis eines angemessenen Datenschutzniveaus durch die Privacy Shield-Zertifizierung aberkannt (Urteil v. 16.07.2020, Az. C‑311/18, Schrems II). Seit diesem Urteil fehlt es für die Übertragung personenbezogener Daten in die USA in vielen Fällen an der geeigneten Rechtsgrundlage. Mit dem EU-US Data Privacy Framework sollte nun die Basis für einen neuen Angemessenheitsbeschluss der beiden Länder erreicht werden.
“Mit einem positiven Entscheid zu einem finalen Angemessenheitsbeschluss noch vor der Sommerpause Ende Juli 2023 ist vor dem Hintergrund der jüngsten Stellungnahmen kaum mehr zu rechnen.” – Matthias Herkert
Mit dem Transatlantic Data Privacy Framework zeichnete sich seit einigen Monaten ein Leuchtstreifen am Horizont der Datenübermittlung ab, der spätestens mit der Vorlage eines Entwurfes der EU Kommission zu einem neuen Angemessenheitsbeschluss nochmals deutlich an Bedeutung gewann.
Da sich nun inzwischen wieder düstere Wolken am EU-US Data Privacy Framework Himmel bilden, ist es an der Zeit, einen Blick auf die Entwicklung des Nachfolgers des EU-US-Privacy Shield zu werfen und einen Ausblick zu wagen.
Stand des EU-US Date Privacy Frameworks
Nachdem der EuGH im Juli 2020 den bis dahin geltenden Angemessenheitsbeschluss in Bezug auf das Privacy Shield für ungültig erklärte, unterzeichnete der amerikanische Präsident Anfang Oktober 2022 die Executive Order „zur Verbesserung der Schutzmaßnahmen für Signalaufklärungsaktivitäten der Vereinigten Staaten“, die im Wesentlichen den Datenzugriff von US-Behörden begrenzen und zur Einsetzung eines unabhängigen Gremiums zur Prüfung und Beilegung von Betroffenenbeschwerden in diesem Kontext führen soll.
Die EU-Kommission hat hierauf am 13. Dezember 2022 den Entwurf eines neuen Angemessenheitsbeschlusses für die USA veröffentlicht, in welcher der USA wieder ein angemessenes Datenschutzniveau gemäß Art. 45 DSGVO bescheinigt wird.
Dieser Entwurf wurde vom Europäischen Danteschutzausschuss (EDPB) Ende Februar 2023 in seiner „Opinion 5/2023“ positiv begrüßt, wobei auch Bedenken unter anderem zu den im Angemessenheitsbeschluss ausgestaltenten Rechten der Betroffenen und dem Umfang, die praktische Umsetzung der Funktionsweise des Rechtsbehelfsmechanismus, geäußert wurden.
Kritischer als der EDPB äußerste sich zuvor am 14.02.2023 bereits der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments der zu dem Fazit kommt, der Entwurf böte „keine tatsächliche Gleichwertigkeit im Hinblick auf das Schutzniveau“.
Eine Einschätzung, die nun am 11. Mai 2023 auch das EU Parlament in seiner Entschließung mit dem Fazit teilte, dass mit dem vorgeschlagenen Angemessenheitsbeschluss zwischen der EU und den USA „keine wesentliche Gleichwertigkeit im Hinblick auf das Schutzniveau geschaffen werde“.
Und was kommt jetzt?
Angemessenheitsentscheidungen werden durch die Europäischen Kommission mittels sogenannter „Ausschussverfahren“ getroffen, wobei die finale Annahme der Entscheidung durch das Kollegium der Kommissionsmitglieder erfolgt. Hierbei ist sie nicht an vorherige Stellungnahmen des Europäischen Parlaments, des EDSA oder Anderer gebunden, auch wenn die politischen Signale im Vorfeld noch so kritisch oder gar ablehnend ausfallen.
Ein kurzes Fazit zum Schluss
Mit einem positiven Entscheid zu einem finalen Angemessenheitsbeschluss noch vor der Sommerpause Ende Juli 2023 ist vor diesem Hintergrund, aus unserer Sicht, kaum mehr zu rechnen. Für die Übermittlung personenbezogener Daten in die USA bleiben also nach wie vor nur die „geeigneten Garantien“ des Artikel 45 DSGVO, mithin insbesondere die genehmigten Standarddatenschutzklauseln.
Was Sie noch interessieren könnte:
Löschkonzept nach DSGVO: Warum Daten wegkönnen, ja sogar müssen!
Einleitung: Digitale „Aufheberitis“ in Unternehmen Wir alle kennen diesen einen Kollegen, der E‑Mails aus dem Jahr 2005 aufbewahrt, “weil […]
Das Berechtigte Interesse – Worauf bei der Heranziehung als Rechtsgrundlage für die Datenverarbeitung zu achten ist
Möchte man personenbezogene Daten verarbeiten, kommt man nicht umhin, sich mit der dafür erforderlichen Rechtsgrundlage zu beschäftigen. Gerne wird […]
Neues Jahr – neue Themen…
Ein neues Jahr bringt auch eine neue Datenschutz-Agenda mit sich – Zeit um sich diejenigen Themen anzusehen, die das […]