Alle News & Events anzeigen

21.12.2022

Zum Ende des Jahres gute Nachrichten? Neuer Entwurf für ein „EU-US Data Privacy Framework“

Kaum ein Thema erhitzt die (datenschutzrechtlichen) Gemüter so sehr, wie der internationale Datentransfer. Dies gilt umso mehr, sofern Unternehmen in den USA beteiligt sind. Ob Tools für die eigene Webseite, der Einsatz von Cloud-Lösungen oder die „simple“ Datenübermittlung innerhalb eines international agierenden Konzerns. Früher oder später wird hierbei stets die Frage aufkommen: Ist das datenschutzrechtlich so in Ordnung?

Nachdem der Europäische Gerichtshof in seiner berüchtigten „Schrems-II“ Entscheidung vom 16. Juli 2020 das sog. „EU-US Privacy Shield“ für ungültig erklärt hat, mussten Unternehmen (erneut) auf alternative Mechanismen zur datenschutzrechtlichen Legitimierung ausweichen. Neben Standardvertragsklauseln kommen hierzu bspw. sog. „Binding Corporate Rules“ oder – zumindest in Ausnahmefällen – datenschutzrechtliche Einwilligungen der betroffenen Personen in Betracht. Allen Fällen ist dabei jedoch gemein, dass gewisse datenschutzrechtliche Risiken bestehen bleiben können, welche nur schwerlich vollends auszuräumen sind. Neben der teils unverständlich restriktiven Auslegung der datenschutzrechtlichen Anforderungen durch die Aufsichtsbehörden, müssen auch real bestehende Alternativen zu den „großen Anbietern“ im Auge behalten werden. Unternehmen stehen daher mitunter vor enormen Herausforderungen, möchten sie einerseits den Datenschutz beachten und andererseits den täglichen Arbeitsablauf nicht unverhältnismäßig belasten.

Die vorgenannten Probleme könnten jedoch künftig – zumindest mittelfristig – zu einem „Happy End“ führen, da die Europäische Kommission am 13. Dezember 2022 nunmehr einen ersten Entwurf für einen neuen Angemessenheitsbeschluss veröffentlicht hat.

Aber ist dies in dieser Pauschalität überhaupt so richtig? Ein Überblick zu den neuen Regelungen:

Die Chronologie zum neuen Entwurf

Bereits am 25. März 2022 wurde seitens der Europäischen Kommission und den Vereinigten Staaten eine gemeinsame Erklärung für einen „Transatlantischen Datenschutzrahmen“ veröffentlicht. Festgehalten wurde hierbei explizit, dass die in der „Schrems-II“ Entscheidung genannten Bedenken künftig ausgeräumt werden sollen und sich die USA insoweit einer „Selbstverpflichtung“ zum Ergreifen geeigneter Garantien unterziehen. Am 7. Oktober 2022 unterzeichnete Präsident Joe Biden sodann eine – bereits vielfach kritisierte – Executive Order „Enhancing Safeguards for United States Signals Intelligence Activities“ (EO 10486), welche der erste Schritt zur Gewährleistung eines angemessenen Datenschutzniveaus darstellen sollte (vgl. die Ausführungen der Europäischen Kommission). Hierüber haben wir bereits in unserem Beitrag vom 25. Oktober 2022 berichtet.

Seit dem 13. Dezember 2022 liegt nun der erste Entwurf für ein „EU-US Data Privacy Framework“ vor, welcher in Zukunft den sog. Drittlandtransfer in die USA legitimieren soll.

Welche Regelungen sind konkret vorgesehen?

Zunächst muss die aufkommende Euphorie zumindest etwas gedämpft werden. Auch sofern der Entwurf der Europäischen Kommission tatsächlich zu einem finalen Angemessenheitsbeschluss reift, bedeutet dies nicht, dass jeglicher Datentransfer in die USA hierauf gestützt werden kann. Wie bereits beim Vorgängermodell (dem „EU-US Privacy Shield“), sieht der Entwurf einen Zertifizierungsmechanismus für US-Unternehmen vor. Dies bedeutet, dass ein Datentransfer nur an solche Unternehmen zu einem angemessenen Datenschutzniveau führt, die sich den konkreten Regelungen des Angemessenheitsbeschlusses unterwerfen. Eine Zertifizierung durch US-Unternehmen setzt dabei voraus, dass diese entweder den Ermittlungs- und Durchsetzungsbefugnissen der „Federal Trade Commission“ (FTC) oder dem „US Department for Transportation“ unterliegen.

Der Entwurf unterscheidet grundsätzlich zwischen den „EU-US Data Privacy Framework Principles“ und den „Supplemental Principles“ (als Annex 1), welche seitens des „Departments of Commerce“ (US-Handelsministeriums) ausgearbeitet wurden. Letzterem obliegt zudem die Verwaltung und Überwachung der jeweiligen Regelungen des angedachten Angemessenheitsbeschlusses, welche seitens der zertifizierten US-Unternehmen künftig zu beachten sind. Hierzu gehört insbesondere, dass personenbezogene Daten zu löschen sind, sofern diese nicht mehr benötigt werden. Ebenso müssen personenbezogene Daten auch dann (vertraglich) weiter geschützt werden, sofern diese weitergegeben werden (sog. „onward transfer“). Auch sollen betroffene Personen verschiedene Rechtsschutzmöglichkeiten (u.a. unentgeltliche Streitbeilegungsverfahren sowie eine Schiedsstelle) zur Hand haben, sofern ein Verstoß gegen die „Principles“ vorliegt.

Die Europäische Kommission hat in einem kurzen Fact-Sheet („Key principles“) daneben die wichtigsten weiteren Grundsätze des Entwurfs festgehalten:

  • Der Angemessenheitsbeschluss soll einen freien und sicheren Verkehr personenbezogener Daten zwischen der EU und den zertifizierten US-Unternehmen ermöglichen.
  • Es soll ein neues Regelwerk sowie verbindliche Garantien vorgesehen werden, welche einen Zugriff auf personenbezogene Daten durch US-Behörden – zu Zwecken der Strafverfolgung sowie der nationalen Sicherheit – auf das notwendige und verhältnismäßige Maß beschränken.
  • Es soll ein neues zweistufiges Beschwerde- und Rechtsbehelfssystem vorgesehen werden, welches auch die Bereitstellung eines unabhängigen Gerichts („Data Protection Review Court“) für betroffene Personen inkludiert.

Wie geht es nun weiter?

Der Entwurf der Europäischen Kommission wurde dem Europäischen Datenschutzausschuss bereits zur Durchsicht und Stellungnahme vorgelegt. Sollten dieser, ein weiterer Ausschuss aus Vertretern der EU-Mitgliedsstaaten sowie das Europäische Parlament „grünes Licht“ geben, steht einer Verabschiedung des Beschlusses letztlich nichts mehr im Wege.

Wann der Beschluss tatsächlich in Kraft tritt, kann zum jetzigen Zeitpunkt noch nicht final abgeschätzt werden. Wir gehen jedoch davon aus, dass mit einer Verabschiedung im ersten Quartal 2023 zu rechnen ist.

Unsere erste Einschätzung

Obgleich bereits nach Erlass der EO 10486 durch Präsident Joe Biden – und so nun auch betreffend den neuen Entwurf der Europäischen Kommission –  diverse Bedenken gegen die vorgesehenen Maßnahmen laut wurden, begrüßen wir die Schritte der Europäischen Kommission in Richtung eines rechtssicheren Datentransfers in die USA sehr.

Man mag im Einzelnen darüber streiten können, wie weit die vorgesehenen „Principles“ ausgereift sind und ob diese letztlich als „ausreichend“ anzusehen sind. Auch kann durchaus diskutiert werden, ob das US-amerikanische Verständnis eines verhältnismäßigen Zugriffs auf personenbezogene Daten durch US-Behörden europäischen Maßstäben entspricht. Betrachtet man jedoch gleichzeitig die aktuelle Rechtsunsicherheit bei einer Übermittlung personenbezogener Daten in die USA sowie die gleichzeitig bestehende praktische Notwendigkeit entsprechender Regelungen, kann unser Fazit nur lauten: Her mit dem Angemessenheitsbeschluss! Obgleich man einzelne Regelungen – wie bereits angeführt – durchaus kritisieren kann, so stellt der Entwurf der Europäischen Kommission jedenfalls einen erheblichen Schritt in Richtung Rechtssicherheit für eine Vielzahl von europäischen und US-Unternehmen dar.

Sobald das neue Jahr 2023 begonnen hat und auch die politischen Motoren der Europäischen Union wieder zu laufen beginnen, sollte zunächst abgewartet werden, wann und in welcher Form der Angemessenheitsbeschluss letztlich verabschiedet wird.

Bis dahin die leider noch immer unerfreuliche Nachricht: Unternehmen müssen die zum 27. Dezember 2022 ablaufende Frist zur Umstellung bestehender Verträge auf die neuen EU-Standardvertragsklauseln weiterhin beachten. Dies kann sowohl beim Einsatz einzelner Dienstleister, als auch in umfassenden Group Data Transfer Agreements zu einem erheblichen Aufwand führen. Die „altbekannten“ Übermittlungsinstrumente, wie bspw. Standardvertragsklauseln, sind daher noch lange nicht passé. Begrüßenswert ist jedoch, dass einige der in dem neuen Entwurf festgehaltenen Regelungen (insbesondere im Zusammenhang mit Zugriffsrechten der US-Behörden) auch auf andere Übermittlungsinstrumente „durchgreifen“. Soweit man einem – nach unserer Auffassung vorzugswürdigen – risikobasierten Ansatz folgt, wäre dies auch bei der Implementierung von Standardvertragsklauseln und dem dabei durchzuführenden Transfer Impact Assessment zu berücksichtigen.

Ebenfalls ist - unter Anbetracht der Regelung des Art. 5 Abs. 2 DS-GVO - auch künftig zu prüfen, ob trotz Vorliegen eines Angemessenheitsbeschlusses ggf. zusätzliche Maßnahmen, wie das die Durchführung eines Transfer Impact Assessments, sinnvoll erscheinen. Letztlich muss jeder Verantwortliche im Einzelfall nachweisen können, dass die Anforderungen der DS-GVO tatsächlich eingehalten werden. 

Gerne unterstützen Sie wir „auf den letzten Metern“, bevor – so hoffen wir doch sehr – zumindest mittelfristig ein rechtssicherer Rahmen für Datenübermittlungen in die USA geschaffen wurde.

Erfahren Sie schon heute, worüber die Rechtswelt morgen redet.

Autor/innen

Marius Drabiniok

Marius Drabiniok

Associate

Profil anzeigen
Oliver Hornung

Dr. Oliver Hornung

Partner

Profil anzeigen
Franziska Ladiges

Franziska Ladiges

Partnerin

Profil anzeigen

Das könnte Sie auch interessieren

News

3

25.04.2024, Marius Drabiniok

AI Unplugged: Datenschutz und KI – Hype oder echter Beratungsbedarf?

24.04.2024, Dr. Nepomuk Nothelfer

Transfervereinbarungen im Esport

18.04.2024, Fabian Bauer, Marius Drabiniok

"KI-Flash": Der risikobasierte Ansatz des AI Act

alle anzeigen