Der Europäische Datenschutzausschuss (EDSA) hat seinen Bericht über die erste Überprüfung des EU-US-Angemessenheitsbeschlusses am 4. November 2024 veröffentlicht. Die Überprüfung selbst erfolgte bereits am 18. und 19. Juli 2024 in Washington. Der Bericht fällt positiv aus. Der EDSA lobt die schnelle Implementierung des EU-US-Data-Privacy-Framework (DPF) und stellt positive Entwicklungen zum Datenschutz in den USA fest, insbesondere im Hinblick auf die Stärkung des Data Protection Review Court zur Durchsetzung der Datenschutzrechte.
Datenübermittlungen in die USA: EU und USA kündigen Trans-Atlantic Data Privacy Framework an
Montag, 28. März 2022
Die Europäische Kommission und die US-Regierung haben am 25. März 2022 in einer gemeinsamen Erklärung bekannt gegeben, dass sie sich auf einen neuen Mechanismus zur Übermittlung personenbezogener Daten zwischen der EU und den USA geeinigt haben. Das „Trans-Atlantic Data Privacy Framework“ („TADPF“) wird damit der dritte Versuch eines transatlantischen Datenschutzabkommens. Der EuGH hatte zuvor die Vorgängerabkommen „Safe Harbor“ und „Privacy Shield“ für unwirksam erklärt und mit der Entscheidung „Schrems-II“ erhebliche Rechtsunsicherheit für Datenübermittlungen ins nicht-europäische Ausland geschaffen. Es darf bezweifelt werden, ob die vom EuGH identifizierten grundlegenden Probleme bei Datenverarbeitungen in den USA durch das TADPF ausgeräumt werden können. Hierfür wären wesentlichen Änderungen der Rechtslage in den USA im Hinblick auf Datenzugriffe durch US-Geheimdienste erforderlich. Im Übrigen verbleiben erhebliche Rechtsunsicherheiten bei Datenübermittlungen in sonstige Drittländer.
Was ist das Trans-Atlantic Data Privacy Framework?
Das TADPF soll in Form eines bilateralen Abkommens zwischen der EU und den USA einen rechtssicheren Mechanismus für Datenübermittlungen zwischen den Parteien schaffen. Nach Art. 44 ff. DSGVO dürfen personenbezogene Daten nur dann in Nicht-EU Staaten übermittelt werden, wenn hinreichende Garantien für ein angemessenes Datenschutzniveau im Drittland vorliegen. Hierfür kann auf verschiedene Mechanismen, wie beispielsweise den Abschluss der sog. Standardvertragsklauseln oder konzerninterne Datenschutzregeln (Binding Corporate Rules), zurückgegriffen werden. Das TADPF soll einen zusätzlichen Mechanismus für Datenübermittlungen in die USA bilden.
Wie soll das TADPF funktionieren?
In der gemeinsamen Pressemitteilung der EU-Kommission und der US-Regierung wurden die wesentlichen Eckpunkte des TADPF skizziert:
- Datenschutzgarantien: Es sollen verbindliche Garantien zur Beschränkung des Datenzugriffs von US-Geheimdiensten sowie entsprechende Aufsichtsmechanismen und Rechtsschutzmöglichkeiten von Betroffenen umgesetzt werden. Die US-Regierung hat angekündigt, entsprechende Rechtsakte zu erlassen (Executive Order).
- Selbstzertifizierung: Das TADPF soll nur für Datenübermittlungen an US-Unternehmen gelten, die sich im Rahmen einer Selbstzertifizierung zur Einhaltung konkreter Garantien verpflichtet haben. Dieses Prinzip war bereits Gegenstand der Vorgängerabkommen „Safe Harbor“ und „Privacy Shield“.
- Rechtsbehelfe für EU-Bürger: Es soll ein zweistufiges Konzept zur Durchsetzung von Rechtsbehelfen von EU-Bürgern in den USA geschaffen werden, einschließlich eines „Data Protection Review Courts“.
Wann tritt das TADPF in Kraft?
Das ist noch nicht bekannt. Die EU-Kommission und die US-Regierung wollen die vereinbarten Grundsätze zeitnah in ein Abkommen überführen.
Wie ist das Vorhaben zu bewerten?
Das TADPF wird zu einer Erleichterung von Datenübermittlungen an US-amerikanische Service Provider führen, die sich im Rahmen der Selbstzertifizierung den Anforderungen des TADPF unterwerfen. Für konzerninterne Datenübermittlungen werden wohl die Standardvertragsklauseln weiterhin das Mittel der Wahl sein.
Achtung: Die nach dem Schrems-II-Urteil des EuGH verpflichtenden Individualprüfungen („Transfer Impact Assessments“) werden wohl auch bei Datenübermittlungen auf der Basis des TADPF erforderlich sein. Insoweit wird es voraussichtlich vorerst bei den derzeitigen Rechtsunsicherheiten bleiben. Erst bei einer Änderung der Rechtslage in den USA - etwa in Form einer neuen Executive Order - könnte sich die Rechtsunsicherheit bei Datenübermittlungen in die USA entspannen.
Die Risiken bei Datenübermittlungen in sonstige Drittländer bleiben unverändert bestehen.
Handlungsempfehlungen:
Die Ankündigung eines neuen transatlantischen Abkommens hat zunächst keine Auswirkungen auf die Zulässigkeit von Datenübermittlungen in Drittländer. Es bleibt daher unverändert bei den bisher geltenden Handlungsempfehlungen (siehe auch: Dunkle Wolken: Auch nach den Empfehlungen des Europäischen Datenschutzausschusses (EDPB) weiterhin erhebliche Rechtsunsicherheit bei der Nutzung von US-Cloud-Diensten):
- Know Your Transfers: Verschaffen Sie sich einen Überblick über Ihre Datenübermittlungen in Drittländer.
- Garantien: Prüfen Sie, ob entsprechende Garantien für die Drittlandübermittlungen (z. B. Abschluss von Standardvertragsklauseln) vorliegen. Achtung: Bis Ende des Jahres müssen „alte“ Standardvertragsklauseln durch die „neuen“ Standardvertragsklauseln ersetzt werden.
- Führen Sie eine Analyse der Rechtslage im Drittland durch und prüfen Sie, ob vertragliche, organisatorische oder technische Maßnahmen erforderlich sind, um ein angemessenes Schutzniveau zu erreichen („Transfer Impact Assessment“).
Weiterführende Informationen:
Stellungnahme der EU-Kommission vom 25. März 2022
Stellungnahme der US-Regierung vom 25. März 2022