Der EuGH hat in der Rechtssache C-21/23 entschieden, dass Wettbewerber Unterlassungsklagen wegen Datenschutzverstößen erheben können, und bestätigt, dass Arzneimitteldaten als Gesundheitsdaten im Sinne der DSGVO gelten.
Europäischer Datenschutzausschuss (EDSA) überprüft US-Angemessenheitsbeschluss
Dienstag, 12. November 2024
Der Europäische Datenschutzausschuss (EDSA) hat seinen Bericht über die erste Überprüfung des EU-US-Angemessenheitsbeschlusses am 4. November 2024 veröffentlicht. Die Überprüfung selbst erfolgte bereits am 18. und 19. Juli 2024 in Washington. Der Bericht fällt positiv aus. Der EDSA lobt die schnelle Implementierung des EU-US-Data-Privacy-Framework (DPF) und stellt positive Entwicklungen zum Datenschutz in den USA fest, insbesondere im Hinblick auf die Stärkung des Data Protection Review Court zur Durchsetzung der Datenschutzrechte.
Handlungsbedarf sieht der EDSA hingegen insbesondere hinsichtlich folgender Punkte:
- zur Sicherstellung der Einhaltung der im DPF festgelegten Datenschutzprinzipien sollen die zuständigen US-Behörden proaktiv Überprüfungen der Unternehmen vornehmen;
- das Department of Commerce sollte Leitlinien für die Weiterübermittlung in andere Drittländer herausgeben;
- die besondere Bedeutung von „HR Data“ unter der DPF-Zertifizierung sollte klargestellt und eine praktische Hilfestellung zu den relevanten Use Cases erstellt werden – der EDSA hebt insoweit die Punkte hervor, die für das europäische Verständnis der DPF-HR-Data-Zertifizierung sprechen, nämlich dass diese Voraussetzung für die Übermittlung von Beschäftigtendaten aus der EU in die USA ist.
In Sachen US-Behördenzugriffe stellt der EDSA fest, dass in Umsetzung der Executive Order 14086 der Erforderlichkeits- und der Verhältnismäßigkeitsgrundsatz Eingang in die internen Behördenvorgaben gefunden haben. Gleichzeitig betont der EDSA, dass es ihm nicht möglich war/ist, zu überprüfen, inwieweit die Prinzipien praktisch im Behördenalltag umgesetzt werden.
Die in Section 702 of the Foreign Intelligence Surveillance Act erfolgten Änderungen gehen dem EDSA nicht weit genug – er hätte sich die Aufnahme der in der Executive Order 14086 vorgesehenen Schutzmechanismen gewünscht. Des Weiteren führt der EDSA aus, dass eine Erweiterung der Definition des „electronic communication service provider” erfolgt und eine Klarstellung zur engen Auslegung, wie sie laut des U.S. Department of Justice bereits jetzt erfolgen solle, durch eine weitere Gesetzesänderung in 2025 geplant ist.
Der EDSA verweist darauf, dass die Beschaffung personenbezogener Daten durch die US-Intelligence Agencies über Datenhändler und andere kommerzielle Einrichtungen nicht in den Anwendungsbereich der Executive Order 14086 fällt und die EU-Kommission insoweit die Schaffung eines angemessenen Schutzniveaus im Blick haben sollte.
Schließlich erachtet der EDSA es für angemessen, wenn die nächste Überprüfung nicht erst zum Ende der vorgesehenen maximalen Frist von 4 Jahren, sondern bereits nach 3 Jahren erfolgt. Ob der anstehende Präsidentschaftswechsel in den USA eine vorgezogene Überprüfung erforderlich machen wird, bleibt abzuwarten – ausgeschlossen erscheint dies nicht.
