EU-US-Datenschutzrahmen 2023

Die Europäische Kommission hat am 10.7.23 ihren Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen angenommen. Der Beschluss kommt zu dem Schluss, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die auf der Grundlage des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten gefahrlos aus der EU an US-Unternehmen, die an dem Rahmen teilnehmen, übermittelt werden, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen.

Der Datenschutzrahmen zwischen der EU und den USA führt neue verbindliche Garantien ein, um alle vom Europäischen Gerichtshof geäußerten Bedenken auszuräumen, einschließlich der Beschränkung des Zugriffs von US-Geheimdiensten auf EU-Daten auf das notwendige und verhältnismäßige Maß und der Einrichtung eines Datenschutzüberprüfungsgerichts (DPRC), zu dem EU-Bürger Zugang haben. Der neue Rahmen bringt erhebliche Verbesserungen im Vergleich zu dem Mechanismus, der unter dem Privacy Shield bestand. Stellt das DPRC beispielsweise fest, dass Daten unter Verstoß gegen die neuen Garantien erhoben wurden, kann es die Löschung der Daten anordnen. Die neuen Garantien im Bereich des staatlichen Zugriffs auf Daten werden die Verpflichtungen ergänzen, die US-Unternehmen, die Daten aus der EU importieren, eingehen müssen.

US-Unternehmen können dem EU-US-Datenschutzrahmen beitreten, indem sie sich verpflichten, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten, z. B. die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und die Kontinuität des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.

EU-Bürger können mehrere Rechtsbehelfe in Anspruch nehmen, wenn ihre Daten von US-Unternehmen falsch gehandhabt werden. Dazu gehören kostenlose unabhängige Streitbeilegungsmechanismen und ein Schlichtungsgremium.

Darüber hinaus sieht der US-Rechtsrahmen eine Reihe von Garantien für den Zugriff von US-Behörden auf Daten vor, die auf der Grundlage des Rechtsrahmens übermittelt werden, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu den Daten ist auf das beschränkt, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.

Einzelpersonen in der EU haben Zugang zu einem unabhängigen und unparteiischen Rechtsbehelfsverfahren in Bezug auf die Erhebung und Verwendung ihrer Daten durch US-Geheimdienste, zu dem auch ein neu geschaffenes Datenschutzprüfungsgericht gehört. Das Gericht wird Beschwerden unabhängig untersuchen und schlichten, auch durch die Annahme verbindlicher Abhilfemaßnahmen.

Die von den USA eingeführten Schutzmaßnahmen werden auch den transatlantischen Datenverkehr im Allgemeinen erleichtern, da sie auch bei der Übermittlung von Daten mit Hilfe anderer Instrumente wie Standardvertragsklauseln und verbindlichen Unternehmensregeln gelten.

Die nächsten Schritte

Das Funktionieren des EU-US-Datenschutzrahmens wird in regelmäßigen Abständen von der Europäischen Kommission zusammen mit Vertretern der europäischen Datenschutzbehörden und der zuständigen US-Behörden überprüft.

Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses stattfinden, um zu überprüfen, ob alle relevanten Elemente vollständig in den US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.

Hintergrund

Gemäß Artikel 45 Absatz 3 der Datenschutz-Grundverordnung (DSGVO) ist die Kommission befugt, im Wege eines Durchführungsrechtsakts zu beschließen, dass ein Nicht-EU-Land ein „angemessenes Schutzniveau“ gewährleistet – ein Schutzniveau für personenbezogene Daten, das im Wesentlichen dem Schutzniveau in der EU entspricht. Angemessenheitsbeschlüsse haben zur Folge, dass personenbezogene Daten aus der EU (sowie aus Norwegen, Liechtenstein und Island) ohne weitere Hindernisse in ein Drittland fließen können.

Nachdem der Gerichtshof der Europäischen Union den vorherigen Angemessenheitsbeschluss zum EU-US-Datenschutzschild für ungültig erklärt hatte, nahmen die Europäische Kommission und die US-Regierung Gespräche über einen neuen Rahmen auf, der die vom Gerichtshof aufgeworfenen Fragen berücksichtigt.

Im März 2022 gaben Präsidentin von der Leyen und Präsident Biden bekannt, dass sie im Anschluss an Verhandlungen zwischen Kommissarin Reynders und US-Ministerin Raimondo eine grundsätzliche Einigung über einen neuen transatlantischen Rahmen für den Datenverkehr erzielt hatten. Im Oktober 2022 unterzeichnete Präsident Biden eine Durchführungsverordnung über die Verbesserung der Schutzmaßnahmen für die Aktivitäten der Vereinigten Staaten im Bereich der Signalnachrichtendienste“, die durch Verordnungen des US-Justizministers Garland ergänzt wurde. Mit diesen beiden Instrumenten wurden die im Rahmen des Grundsatzabkommens eingegangenen Verpflichtungen der USA in US-Recht umgesetzt und die Verpflichtungen der US-Unternehmen aus dem EU-US-Datenschutzrahmen ergänzt.

Ein wesentliches Element des US-Rechtsrahmens, in dem diese Schutzmaßnahmen verankert sind, ist die US-Exekutivverordnung über die Verbesserung der Schutzmaßnahmen für die Aktivitäten der Vereinigten Staaten im Bereich der Signalnachrichtendienste“, die den Bedenken Rechnung trägt, die der Gerichtshof der Europäischen Union in seinem Schrems-II-Urteil vom Juli 2020 geäußert hat.

Der Rechtsrahmen wird vom US-Handelsministerium verwaltet und überwacht. Die US-Bundeshandelskommission (Federal Trade Commission) wird die Einhaltung des Rahmens durch die US-Unternehmen durchsetzen. Quelle: Pressemitteilung der EU-Kommission!

Fachanwalt für IT-Recht Jens Ferner