Nächster Schritt in Richtung des transatlantischen Datenschutzrahmens zwischen der EU und den USA

Der US-amerikanische Präsident Joe Biden erlässt den Durchführungsbeschluss zur Umsetzung des Datenschutzrahmens zwischen der EU und den USA

Bereits im März dieses Jahres hatten die Europäische Kommission und die US-amerikanische Regierung die Schaffung eines neuen Rechtsrahmens zur Erleichterung des transatlantischen Datentransfers angekündigt (siehe unser Beitrag hier). Dieses Abkommen soll den Zustand der Rechtsunsicherheit beenden, in der sich Unternehmen befinden, seitdem der Europäische Gerichtshof (EuGH) mit seinem Schrems II-Urteil im Juli 2020 den bis dahin geltenden Privacy Shield als Grundlage für eine Datenübermittlung aus dem Europäischen Wirtschaftsraum in die USA für unwirksam erklärt hatte.

Seitdem sind Unternehmen im Europäischen Wirtschaftsraum gezwungen, für Datenübermittlungen in die USA einen der anderen in der EU Datenschutz-Verordnung (DSGVO) vorgesehenen Transfermechanismen zu nutzen, insbesondere die EU-Standardvertragsklauseln. Dies bürdet den Unternehmen zusätzlich komplexe Folgenabschätzungen (Transfer Impact Assessment), die Umsetzung ergänzender Schutzmaßnahmen und einen erheblichen Dokumentationsaufwand auf, ohne jedoch oftmals das hiermit von ihnen verfolgte Ziel einer Rechtssicherheit im Hinblick auf einen „DSGVO-konformen“ Datentransfer zu erreichen. 
 
Der „Durchführungsbeschluss zur Umsetzung des Datenschutzrahmens zwischen der EU und den USA“, den der US-amerikanische Präsident Joe Biden am vergangenen Freitag erlassen hat, ist als wichtiger Schritt hin zu einer Vereinfachung des Datentransfers in die USA zu begrüßen.

Wesentlicher Inhalt des Durchführungsbeschlusses

Das Dekret legt zunächst fest, unter welchen Bedingungen das Sammeln der Daten von Privatpersonen durch US-Sicherheitsbehörden zulässig ist, so insbesondere im Kampf gegen Terrorismus oder zum Schutz vor Spionage und Bedrohungen der Cybersicherheit. Zugleich formuliert es auch, wann dies grundsätzlich unzulässig ist, etwa, soweit die Datensammlung in diskriminierender Absicht erfolgt. 
 
Darüber hinaus schreibt das Dekret vor, dass, wenn US-Behörden Daten abfangen und analysieren, sie künftig nachweisen müssen, dass ihre Maßnahmen der Gefahrenabwehr dienen und verhältnismäßig sind, den Behörden also keine weniger einschneidenden Mittel zur Verfügung standen.
 
Die wichtigste Neuerung des Dekrets dürfte aber die Schaffung des Data Protection Review Court sein, eines unabhängigen Gerichts, an das sich EU-Bürger wenden können, wenn sie ihre Bürgerrechte durch Maßnahmen der US-Behörden verletzt sehen. Das Gericht kann bindende Urteile fällen und die Geheimdienste dazu zwingen, bestimmte Spionageaktivitäten einzustellen. 

Wie geht es nun weiter?

Die Europäische Kommission wird nun das Dekret überprüfen, um sicherzustellen, dass es die vom EuGH festgestellten Lücken angemessen schließt. Zuvor muss die Kommission aber noch die Meinungen des Europäischen Datenschutzausschusses (EDSA) und des EU-Parlaments einholen, und die Mitgliedstaaten müssen mit qualifizierter Mehrheit zustimmen. 
 
Mit der Veröffentlichung des Angemessenheitsbeschlusses, womit im Frühjahr 2023 gerechnet wird, können sich dann Unternehmen für die Übermittlung von Daten an zertifizierte Unternehmen in den USA auf den Angemessenheitsbeschluss stützen. Insbesondere der Abschluss der EU-Standardvertragsklauseln wird damit nicht mehr erforderlich sein. 
 
Unklar ist allerdings noch, ob die US-Unternehmen ihre bisherige Zertifizierung unter dem Privacy Shield in den neuen transatlantischen Datenschutzrahmen überführen können, oder ob hierfür die Durchführung eines erneuten Zertifizierungsprozesses erforderlich ist. 

Gemischte Reaktionen auf den Durchführungsbeschluss

Die Europäische Kommission betont die signifikanten Verbesserungen durch das Dekret, insbesondere im Hinblick auf das neu eingeführte Rechtsschutzverfahren, und geht davon aus, dass es die im Schrems II-Urteil durch den EuGH formulierten Anforderungen vollständig erfüllt.
 
Nach Einschätzung von Max Schrems, der vor dem EuGH sowohl den Privacy Shield als auch dessen Vorgängerabkommen Safe Harbour zu Fall gebracht hat, erfüllt das Dekret hingegen nicht die Vorgaben des europäischen Gerichts, so dass es sehr wahrscheinlich ist, dass sich der EuGH nach Safe Harbour und Privacy Shield auch mit dem neuen transatlantischen Datenschutzrahmen befassen wird.