Mit sei­nem Urteil vom 16. Juli 2020 hat der EuGH den Nach­weis eines ange­mes­se­nen Daten­schutz­ni­veaus durch die Pri­va­cy Shield-Zertifizierung aberkannt (Urteil v. 16.07.2020, Az. C‑311/18, Schrems II). Seit die­sem Urteil fehlt es für die Über­tra­gung per­so­nen­be­zo­ge­ner Daten in die USA in vie­len Fäl­len an der geeig­ne­ten Rechts­grund­la­ge. Mit dem EU-US Data Pri­va­cy Frame­work soll­te nun die Basis für einen neu­en Ange­mes­sen­heits­be­schluss der bei­den Län­der erreicht werden. 

Mit einem posi­ti­ven Ent­scheid zu einem fina­len Ange­mes­sen­heits­be­schluss noch vor der Som­mer­pau­se Ende Juli 2023 ist vor dem Hin­ter­grund der jüngs­ten Stel­lung­nah­men kaum mehr zu rech­nen.” – Mat­thi­as Herkert

Mit dem Trans­at­lan­tic Data Pri­va­cy Frame­work zeich­ne­te sich seit eini­gen Mona­ten ein Leucht­strei­fen am Hori­zont der Daten­über­mitt­lung ab, der spä­tes­tens mit der Vor­la­ge eines Ent­wur­fes der EU Kom­mis­si­on zu einem neu­en Ange­mes­sen­heits­be­schluss noch­mals deut­lich an Bedeu­tung gewann.

Da sich nun inzwi­schen wie­der düs­te­re Wol­ken am EU-US Data Pri­va­cy Frame­work Him­mel bil­den, ist es an der Zeit, einen Blick auf die Ent­wick­lung des Nach­fol­gers des EU-US-Privacy Shield zu wer­fen und einen Aus­blick zu wagen.

Stand des EU-US Date Pri­va­cy Frameworks

Nach­dem der EuGH im Juli 2020 den bis dahin gel­ten­den Ange­mes­sen­heits­be­schluss in Bezug auf das Pri­va­cy Shield für ungül­tig erklär­te, unter­zeich­ne­te der ame­ri­ka­ni­sche Prä­si­dent Anfang Okto­ber 2022 die Exe­cu­ti­ve Order „zur Ver­bes­se­rung der Schutz­maß­nah­men für Signal­auf­klä­rungs­ak­ti­vi­tä­ten der Ver­ei­nig­ten Staa­ten“, die im Wesent­li­chen den Daten­zu­griff von US-Behörden begren­zen und zur Ein­set­zung eines unab­hän­gi­gen Gre­mi­ums zur Prü­fung und Bei­le­gung von Betrof­fe­nen­be­schwer­den in die­sem Kon­text füh­ren soll.

Die EU-Kommission hat hier­auf am 13. Dezem­ber 2022 den Ent­wurf eines neu­en Ange­mes­sen­heits­be­schlus­ses für die USA ver­öf­fent­licht, in wel­cher der USA wie­der ein ange­mes­se­nes Daten­schutz­ni­veau gemäß Art. 45 DSGVO beschei­nigt wird.

Die­ser Ent­wurf wur­de vom Euro­päi­schen Dan­te­schutz­aus­schuss (EDPB) Ende Febru­ar 2023 in sei­ner „Opi­ni­on 5/2023“ posi­tiv begrüßt, wobei auch Beden­ken unter ande­rem zu den im Ange­mes­sen­heits­be­schluss aus­ge­stal­ten­ten Rech­ten der Betrof­fe­nen und dem Umfang, die prak­ti­sche Umset­zung der Funk­ti­ons­wei­se des Rechts­be­helfs­me­cha­nis­mus, geäu­ßert wurden.

Kri­ti­scher als der EDPB äußers­te sich zuvor am 14.02.2023 bereits der Aus­schuss für bür­ger­li­che Frei­hei­ten, Jus­tiz und Inne­res des Euro­päi­schen Par­la­ments der zu dem Fazit kommt, der Ent­wurf böte „kei­ne tat­säch­li­che Gleich­wer­tig­keit im Hin­blick auf das Schutzniveau“.

Eine Ein­schät­zung, die nun am 11. Mai 2023 auch das EU Par­la­ment in sei­ner Ent­schlie­ßung mit dem Fazit teil­te, dass mit dem vor­ge­schla­ge­nen Ange­mes­sen­heits­be­schluss zwi­schen der EU und den USA „kei­ne wesent­li­che Gleich­wer­tig­keit im Hin­blick auf das Schutz­ni­veau geschaf­fen werde“.

Und was kommt jetzt?

Ange­mes­sen­heits­ent­schei­dun­gen wer­den durch die Euro­päi­schen Kom­mis­si­on mit­tels soge­nann­ter „Aus­schuss­ver­fah­ren“ getrof­fen, wobei die fina­le Annah­me der Ent­schei­dung durch das Kol­le­gi­um der Kom­mis­si­ons­mit­glie­der erfolgt. Hier­bei ist sie nicht an vor­he­ri­ge Stel­lung­nah­men des Euro­päi­schen Par­la­ments, des EDSA oder Ande­rer gebun­den, auch wenn die poli­ti­schen Signa­le im Vor­feld noch so kri­tisch oder gar ableh­nend ausfallen.

Ein kur­zes Fazit zum Schluss 

Mit einem posi­ti­ven Ent­scheid zu einem fina­len Ange­mes­sen­heits­be­schluss noch vor der Som­mer­pau­se Ende Juli 2023 ist vor die­sem Hin­ter­grund, aus unse­rer Sicht, kaum mehr zu rech­nen. Für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA blei­ben also nach wie vor nur die „geeig­ne­ten Garan­tien“ des Arti­kel 45 DSGVO, mit­hin ins­be­son­de­re die geneh­mig­ten Standarddatenschutzklauseln.

Was Sie noch interessieren könnte:

Autor des Artikels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter