P├╝nktlich zum Jahresende hat die EU-Kommission am 13.12.2022 dem Europ├Ąischen Datenschutzausschuss (EDSA) den Entwurf eines Angemessenheitsbeschlusses f├╝r die USA zur Stellungnahme vorgelegt. Der Entwurf beinhaltet, dass sich die USA verpflichten, ein angemessenes Schutzniveau f├╝r personenbezogene Daten zu gew├Ąhrleisten, die aus der EU in die Vereinigten Staaten ├╝bermittelt werden.

Gibt es folglich nun ein Licht am Ende des Tunnels f├╝r all die Unternehmen, die gerade ohne rechtliche Grundlage nicht auf US-Dienste verzichten wollen?

Die EU-Kommission ist nach Pr├╝fung des transatlantischen Datenschutzrahmens zu dem Ergebnis gekommen, dass die USA ein angemessenes Schutzniveau f├╝r personenbezogene Daten gew├Ąhrleisten, die aus der EU an US-Unternehmen ├╝bermittelt werden. Der Beschlussentwurf greife laut der EU-Kommission genau die Bedenken auf, die beim EuGH im Juli 2020 zu Schrems II (und damit der Ung├╝ltigkeitserkl├Ąrung des Privacy Shields) gef├╝hrt haben und r├Ąume diese aus. Dazu geh├Âren u.a. rechtliche Pflichten f├╝r US-Unternehmen, eine Begrenzung des Zugangs f├╝r US-Beh├Ârden und Rechtsbehelfsm├Âglichkeiten f├╝r Einzelpersonen aus der EU. Auch habe die EU-Kommission den US-Rechtsrahmen daraufhin gepr├╝ft, ob dieser ausreichende Datenschutz-Garantien bietet, die mit denen der EU vergleichbar sind.

Der n├Ąchste Schritt im Annahmeverfahren ist die Genehmigung des Entwurfs durch den EDSA. Dieser setzt sich aus Vertretern der nationalen Datenschutzbeh├Ârden zusammen. Au├čerdem hat bei allen Angemessenheitsentscheidungen auch das Europ├Ąische Parlament ein Kontrollrecht. Sollten diese Schritte abgeschlossen werden, kann die EU-Kommission die finale Angemessenheitsentscheidung erlassen. Ein Angemessenheitsbeschluss f├╝hrt dazu, dass personenbezogene Daten aus der EU in ein Drittland ├╝bermittelt werden k├Ânnen, ohne dass weitere Schutzma├čnahmen ben├Âtigt werden.

Sollte der Angemessenheitsbeschluss tats├Ąchlich in Kraft treten, k├Ânnen sich US-Unternehmen k├╝nftig dem transatlantischen Datenschutzrahmen anschlie├čen. Dadurch verpflichten sich diese Unternehmen zur Einhaltung s├Ąmtlicher Datenschutzpflichten sowie zur Beachtung der Grunds├Ątze f├╝r die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO (Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrit├Ąt und Vertraulichkeit, Rechenschaftspflicht). Dies soll verhindern, dass US-Unternehmen Datens├Ątze sammeln und horten, f├╝r die es keine rechtliche Grundlage gibt.

Auch beinhaltet der Datenschutzrahmen EU-USA f├╝r den Fall einer Datenweitergabe an Dritte die Pflicht f├╝r die US-Unternehmen, den Schutz der personenbezogenen Daten weiterhin zu gew├Ąhrleisten. Au├čerdem gibt es Beschr├Ąnkungen und Garantien in Bezug auf den Zugang von US-Beh├Ârden zu den Datens├Ątzen von amerikanischen Unternehmen. Die Zugriffe von US-Beh├Ârden auf Daten von europ├Ąischen B├╝rgern soll nach dem Rechtsrahmen auf das zum Schutz der nationalen Sicherheit notwendige und verh├Ąltnism├Ą├čige Ma├č beschr├Ąnkt sein. Dar├╝ber hinaus sollen EU-B├╝rger verschiedene Rechtsbehelfe offenstehen, wenn sie den Verdacht haben, dass ihre Daten zweckentfremdet verarbeitet werden. Dazu geh├Âren eine Schiedsstelle sowie unentgeltliche Streitbeilegungsverfahren.

Generell ist eine regelm├Ą├čige ├ťberpr├╝fung des EU-US-Datenschutzrahmens angedacht. Diese ├ťberpr├╝fung ├╝bernimmt die EU-Kommission gemeinsam mit den europ├Ąischen Datenschutzbeh├Ârden und den zust├Ąndigen US-Beh├Ârden. Die erste ├ťberpr├╝fung soll dabei innerhalb eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses stattfinden.

Mit Vorlage des Entwurfs f├╝r den Angemessenheitsbeschluss beim EDSA ist es tats├Ąchlich denkbar geworden, dass im ersten Quartal 2023 der Beschluss f├╝r die USA in Kraft treten k├Ânnte. Dies w├╝rde f├╝r die Praxis bedeuten, dass es f├╝r Datentransfers in die USA (und somit f├╝r die Nutzung von US-Diensten wie z.B. Google Analytics) wieder eine rechtliche Grundlage geben w├╝rde. Wir sind sehr gespannt!

Quellenangaben:


– Artikel: „xx“, abgerufen am XX.XX.XX unter
– Artikel: „xx“, abgerufen am XX.XX.XX unter
– Artikel: „xx“, abgerufen am XX.XX.XX unter