Mit seinem Urteil vom 16. Juli 2020 hat der EuGH den Nachweis eines angemessenen Datenschutzniveaus durch die Privacy Shield-Zertifizierung aberkannt (Urteil v. 16.07.2020, Az. C‑311/18, Schrems II). Seit diesem Urteil fehlt es für die Übertragung personenbezogener Daten in die USA in vielen Fällen an der geeigneten Rechtsgrundlage. Mit dem EU-US Data Privacy Framework sollte nun die Basis für einen neuen Angemessenheitsbeschluss der beiden Länder erreicht werden.
“Mit einem positiven Entscheid zu einem finalen Angemessenheitsbeschluss noch vor der Sommerpause Ende Juli 2023 ist vor dem Hintergrund der jüngsten Stellungnahmen kaum mehr zu rechnen.” – Matthias Herkert
Mit dem Transatlantic Data Privacy Framework zeichnete sich seit einigen Monaten ein Leuchtstreifen am Horizont der Datenübermittlung ab, der spätestens mit der Vorlage eines Entwurfes der EU Kommission zu einem neuen Angemessenheitsbeschluss nochmals deutlich an Bedeutung gewann.
Da sich nun inzwischen wieder düstere Wolken am EU-US Data Privacy Framework Himmel bilden, ist es an der Zeit, einen Blick auf die Entwicklung des Nachfolgers des EU-US-Privacy Shield zu werfen und einen Ausblick zu wagen.
Stand des EU-US Date Privacy Frameworks
Nachdem der EuGH im Juli 2020 den bis dahin geltenden Angemessenheitsbeschluss in Bezug auf das Privacy Shield für ungültig erklärte, unterzeichnete der amerikanische Präsident Anfang Oktober 2022 die Executive Order „zur Verbesserung der Schutzmaßnahmen für Signalaufklärungsaktivitäten der Vereinigten Staaten“, die im Wesentlichen den Datenzugriff von US-Behörden begrenzen und zur Einsetzung eines unabhängigen Gremiums zur Prüfung und Beilegung von Betroffenenbeschwerden in diesem Kontext führen soll.
Die EU-Kommission hat hierauf am 13. Dezember 2022 den Entwurf eines neuen Angemessenheitsbeschlusses für die USA veröffentlicht, in welcher der USA wieder ein angemessenes Datenschutzniveau gemäß Art. 45 DSGVO bescheinigt wird.
Dieser Entwurf wurde vom Europäischen Danteschutzausschuss (EDPB) Ende Februar 2023 in seiner „Opinion 5/2023“ positiv begrüßt, wobei auch Bedenken unter anderem zu den im Angemessenheitsbeschluss ausgestaltenten Rechten der Betroffenen und dem Umfang, die praktische Umsetzung der Funktionsweise des Rechtsbehelfsmechanismus, geäußert wurden.
Kritischer als der EDPB äußerste sich zuvor am 14.02.2023 bereits der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments der zu dem Fazit kommt, der Entwurf böte „keine tatsächliche Gleichwertigkeit im Hinblick auf das Schutzniveau“.
Eine Einschätzung, die nun am 11. Mai 2023 auch das EU Parlament in seiner Entschließung mit dem Fazit teilte, dass mit dem vorgeschlagenen Angemessenheitsbeschluss zwischen der EU und den USA „keine wesentliche Gleichwertigkeit im Hinblick auf das Schutzniveau geschaffen werde“.
Und was kommt jetzt?
Angemessenheitsentscheidungen werden durch die Europäischen Kommission mittels sogenannter „Ausschussverfahren“ getroffen, wobei die finale Annahme der Entscheidung durch das Kollegium der Kommissionsmitglieder erfolgt. Hierbei ist sie nicht an vorherige Stellungnahmen des Europäischen Parlaments, des EDSA oder Anderer gebunden, auch wenn die politischen Signale im Vorfeld noch so kritisch oder gar ablehnend ausfallen.
Ein kurzes Fazit zum Schluss
Mit einem positiven Entscheid zu einem finalen Angemessenheitsbeschluss noch vor der Sommerpause Ende Juli 2023 ist vor diesem Hintergrund, aus unserer Sicht, kaum mehr zu rechnen. Für die Übermittlung personenbezogener Daten in die USA bleiben also nach wie vor nur die „geeigneten Garantien“ des Artikel 45 DSGVO, mithin insbesondere die genehmigten Standarddatenschutzklauseln.
Was Sie noch interessieren könnte:
Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern
Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz […]
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]