loader image

56. Angemessenheitsbeschluss für die USA und die Auswirkungen für deutsche Unternehmen

von | 11 Jul 2023 | Datenschutz

Foto von Jacob Morrison

Schrems-II ist nun vorbei – wann beginnt die Phase III?  Unter dem Namen „EU-U.S. Data Privacy Framework“ wurde am Montag der Angemessenheitsbeschluss für die USA verabschiedet. Am Nachmittag gab die Europäische Kommission bekannt, dass sie einen sogenannten Angemessenheitsbeschluss für das Drittland USA gefasst hat. Dieser Beschluss besagt, dass ein Drittland ein Schutzniveau für personenbezogene Daten bietet, das mit der Datenschutz-Grundverordnung (DSGVO) vergleichbar und angemessen ist. Auf dieser Grundlage wird die USA nun als „sicheres Drittland“ eingestuft mit der Folge, dass europäische Unternehmen keine zusätzlichen Schutzmaßnahmen ergreifen müssen.  

Was ist ein Angemessenheitsbeschluss?  

Die EU-Kommission kann gem. Art. 45 DSGVO einen sog. Angemessenheitsbeschluss fassen, wenn ein Land ein angemessenes Schutzniveau bietet.  

Die Angemessenheit setzt voraus, dass im Drittland ein im wesentlich gleichwertiges Datenschutzniveau vorherrscht. Der Beschluss basiert daher auf einer umfassenden Bewertung des Datenschutzrahmens eines Landes, sowohl im Hinblick auf den Schutz personenbezogener Daten als auch auf die verfügbaren Überwachungs- und Rechtsbehelfsmechanismen. Insbesondere muss eine wirksame unabhängige Datenschutzaufsicht gewährleistet werden und Mechanismen für die Zusammenarbeit mit den Datenschutzbehörden der Mitgliedstaaten vorgesehen sein.  

Das „Privacy Shield“, der Vorgänger des „EU-U.S. Data Privacy Framework“, wurde vom Europäischen Gerichtshof im Juli 2023 durch das Schrems-II-Urteil für ungültig erklärt. Vier Jahre später haben die EU und die USA nun ein Abkommen erarbeitet, welches nach eigenen Aussagen die zentralen Kritikpunkte adressiert und für die Datenübermittlung in die USA legitimiert.  

Unterzeichnung der Exekutivverordnung in den USA 

Der Angemessenheitsbeschluss folgt auf die Unterzeichnung einer Exekutivverordnung von Präsident Biden im Oktober 2022. Die neuen Verpflichtungen zielen insbesondere darauf ab, sicherzustellen, dass US-Geheimdienste nur in dem Maße auf Daten zugreifen können, wie dies notwendig und verhältnismäßig ist, und einen unabhängigen und unparteiischen Rechtsbehelfsmechanismus einzurichten, um Beschwerden von Europäern über die Erhebung ihrer Daten zu Zwecken der nationalen Sicherheit zu bearbeiten und beizulegen. 

Die Grundlage für eine sichere Datenübermittlung gilt jedoch nur, wenn die Organisation, an die die Daten übermittelt werden, auch nach dem EU-U.S. Data Privacy Framework zertifiziert ist.  

Kritik der europäischen Datenschützer  

Bereits im Vorfeld wurden einige Kritik an dem Entwurf des Beschlusses geübt. Verbesserungsbedarf sieht etwa der Europäische Datenschutzausschuss EDSA vor allem bei der Massenerhebung von Daten („bulk collection“), für die weder eine unabhängige Vorabkontrolle noch eine Überprüfung durch ein Gericht vorgesehen ist. 

Auch der Datenschützer Max Schrems nahm direkt Stellung. Schrems gründete 2017 das Europäisches Zentrum für digitale Rechte „noyb“, welches sich der Durchsetzung des Datenschutzes innerhalb der Europäischen Union widmet. Die Anfechtung des Angemessenheitsbeschlusses liegt nach Aussagen von Max Schrems bereits vorbereitet in der Schublade. 

Welche Auswirkungen hat der Beschluss für europäische Unternehmen?  

Zwar bedeutet der Angemessenheitsbeschluss zunächst eine Erleichterung für datenverarbeitende Unternehmen in der EU. Das bisher notwendige Ergreifen zusätzlicher Schutzmaßnahmen, um ein angemessenes Datenschutzniveau bei der Übermittlung personenbezogener Daten in die USA zu erreichen, entfällt. Gem. Art. 45 DSGVO darf die Übermittlung personenbezogener Daten an ein Drittland ohne weitere Schutzmaßnahmen vorgenommen werden, wenn Angemessenheitsbeschluss vorliegt. Daher wären etwaige zusätzliche Maßnahmen wie der Abschluss von Standardvertragsklauseln als geeignete Garantien obsolet. Europäische Unternehmen müssen jedoch vor der Datenübermittlung überprüfen, ob das empfangende Unternehmen in den USA nach dem EU-U.S. Data Privacy Framework zertifiziert ist. Dies könnte noch einige Wochen bis Monate dauern.  

Wann könnte ein „Schrems-II-Urteil“ gefällt werden?  

Außerdem stellt sich die Frage, wie lange sich die Unternehmen auf den Angemessenheitsbeschluss verlassen können. Der Anfechtung steht nach Angaben von noyb nichts mehr im Wege, sobald das erste Unternehmen auf Grundlage einer Zertifizierung Daten in die USA übermittelt. Dies könnte sogar noch im Jahr 2023 passieren. Sodann muss der Beschluss auch von den europäischen Richtern als ausreichend bewertet werden, um eine rechtssichere Lösung für die Datenübermittlung zu bieten. Eine endgültige Entscheidung könnte daher bereits 2024 oder 2025 gefällt wären und die Phase eines etwaigen „Schrems-III“ Urteils einleiten.   

Sie haben Fragen oder möchten sich mit mir zu dem Thema austauschen? Dann schreiben Sie mir, ich freue mich auf Ihre Nachricht! 

marketing@baer.legal