EU-Kommission hält neuen US-Rechtsrahmen für sicheren Datentransfer geeignet
Die Unsicherheit bei der Übermittlung personenbezogener Daten in die USA zu beseitigen ist das Ziel des neuen EU-US-Datenschutzrahmens. Dieser hat nach seiner Unterzeichnung durch den US-Präsidenten nun die nächste Hürde diesseits des Atlantiks genommen. Die EU-Staaten müssen der Empfehlung der EU-Kommission allerdings noch zustimmen.
Die Übermittlung personenbezogener Daten in die Vereinigten Staaten ist komplex und mit Risiken behaftet. Ein neuer Rechtsrahmen bleibt daher dringend erforderlich. Nachdem der Europäische Gerichtshof (EuGH) vorherige Grundlagen für den Datentransfer Safe Harbour und Privacy Shield gekippt hatte, nimmt die EU-Kommission nun nochmals Anlauf für einen neuen EU-US-Datenschutzrahmen, der ein gleichwertiges Datenschutzniveau gewährleisten soll. US-Präsident Joe Biden unterzeichnete im Oktober 2022 das erste Dokument zur Schaffung des Rechtsrahmens, auch als transatlantischer Datenschutzrahmen bezeichnet (Wir berichteten >>).
Die EU-Kommission hat nun am 13. Dezember 2022 den Entwurf eines Angemessenheitsbeschlusses präsentiert. Dieser liegt derzeit dem Europäischen Datenschutzausschuss (EDSA) zur Stellungnahme vor. Die Kommission wird dann die Zustimmung eines Ausschusses einholen, der die EU-Mitgliedstaaten vertritt. Darüber hinaus hat das Europäische Parlament die Befugnis, den Angemessenheitsbeschluss zu prüfen.
Grundlage für vereinfachten Datenverkehr in die USA
Nach Abschluss dieses Verfahrens kann die Europäische Kommission einen endgültigen Angemessenheitsbeschluss erlassen. Wird dieser verabschiedet, wäre er Grundlage für einen deutlich vereinfachten Datentransfer in die USA. Es wären dann insbesondere keine weiteren Vereinbarungen für den Datentransfer wie Standardvertragsklauseln oder Binding Corporate Rules (BCR) mehr erforderlich.
US-Rechtsrahmen adressiert Kritikpunkte des EuGH
Der neue EU-US-Datenschutzrahmen hat eine höhere Datensicherheit zum Ziel und soll die wesentlichen Kritikpunkte des EuGH an der vorherigen Regelung, dem Privacy Shield adressieren. Insbesondere Dateneigentümer haben nach dem neuen EU-US-Rechtsrahmen viele Rechte u.a. zum Schutz ihrer Daten vor dem Zugriff des US-Geheimdienstes. Darüber hinaus müssen betroffene Personen Zugang zu unabhängigen und unparteiischen Methoden haben, wenn ihre Daten von US-Geheimdiensten verwendet werden sollen. US-Unternehmen können dem EU-US-Datenschutzrahmen beitreten, indem sie sich verpflichten, diese Datenschutzverpflichtungen einzuhalten.
Bis Beschluss weiter Standardvertragsklauseln und BCRs nutzen
Ohne entsprechende Umsetzung in die Realität wird auch der EU-US-Datenschutzrahmen vor dem EuGH keinen Bestand haben. Auch die deutschen Datenschutzaufsichtsbehörden können trotz Angemessenheitsbeschluss den Transfer für rechtswidrig erachten. Insofern kann derzeit nur abgewartet werden. Mit dem Beschluss wird im Frühjahr 2023 gerechnet. Bis zu deren Verabschiedung bleibt Unternehmen vorläufig nur der bisherige Weg über Standardvertragsklauseln oder Binding Corporate Rules, um beim Transfer personenbezogener Daten den Datenschutz zu gewährleisten.
