Gibt es folglich nun ein Licht am Ende des Tunnels für all die Unternehmen, die gerade ohne rechtliche Grundlage nicht auf US-Dienste verzichten wollen?
Die EU-Kommission ist nach Prüfung des transatlantischen Datenschutzrahmens zu dem Ergebnis gekommen, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an US-Unternehmen übermittelt werden. Der Beschlussentwurf greife laut der EU-Kommission genau die Bedenken auf, die beim EuGH im Juli 2020 zu Schrems II (und damit der Ungültigkeitserklärung des Privacy Shields) geführt haben und räume diese aus. Dazu gehören u.a. rechtliche Pflichten für US-Unternehmen, eine Begrenzung des Zugangs für US-Behörden und Rechtsbehelfsmöglichkeiten für Einzelpersonen aus der EU. Auch habe die EU-Kommission den US-Rechtsrahmen daraufhin geprüft, ob dieser ausreichende Datenschutz-Garantien bietet, die mit denen der EU vergleichbar sind.
Der nächste Schritt im Annahmeverfahren ist die Genehmigung des Entwurfs durch den EDSA. Dieser setzt sich aus Vertretern der nationalen Datenschutzbehörden zusammen. Außerdem hat bei allen Angemessenheitsentscheidungen auch das Europäische Parlament ein Kontrollrecht. Sollten diese Schritte abgeschlossen werden, kann die EU-Kommission die finale Angemessenheitsentscheidung erlassen. Ein Angemessenheitsbeschluss führt dazu, dass personenbezogene Daten aus der EU in ein Drittland übermittelt werden können, ohne dass weitere Schutzmaßnahmen benötigt werden.
Sollte der Angemessenheitsbeschluss tatsächlich in Kraft treten, können sich US-Unternehmen künftig dem transatlantischen Datenschutzrahmen anschließen. Dadurch verpflichten sich diese Unternehmen zur Einhaltung sämtlicher Datenschutzpflichten sowie zur Beachtung der Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO (Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht). Dies soll verhindern, dass US-Unternehmen Datensätze sammeln und horten, für die es keine rechtliche Grundlage gibt.
Auch beinhaltet der Datenschutzrahmen EU-USA für den Fall einer Datenweitergabe an Dritte die Pflicht für die US-Unternehmen, den Schutz der personenbezogenen Daten weiterhin zu gewährleisten. Außerdem gibt es Beschränkungen und Garantien in Bezug auf den Zugang von US-Behörden zu den Datensätzen von amerikanischen Unternehmen. Die Zugriffe von US-Behörden auf Daten von europäischen Bürgern soll nach dem Rechtsrahmen auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt sein. Darüber hinaus sollen EU-Bürger verschiedene Rechtsbehelfe offenstehen, wenn sie den Verdacht haben, dass ihre Daten zweckentfremdet verarbeitet werden. Dazu gehören eine Schiedsstelle sowie unentgeltliche Streitbeilegungsverfahren.
Generell ist eine regelmäßige Überprüfung des EU-US-Datenschutzrahmens angedacht. Diese Überprüfung übernimmt die EU-Kommission gemeinsam mit den europäischen Datenschutzbehörden und den zuständigen US-Behörden. Die erste Überprüfung soll dabei innerhalb eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses stattfinden.
Mit Vorlage des Entwurfs für den Angemessenheitsbeschluss beim EDSA ist es tatsächlich denkbar geworden, dass im ersten Quartal 2023 der Beschluss für die USA in Kraft treten könnte. Dies würde für die Praxis bedeuten, dass es für Datentransfers in die USA (und somit für die Nutzung von US-Diensten wie z.B. Google Analytics) wieder eine rechtliche Grundlage geben würde. Wir sind sehr gespannt!
Quellenangaben:
– Artikel: „xx“, abgerufen am XX.XX.XX unter
– Artikel: „xx“, abgerufen am XX.XX.XX unter
– Artikel: „xx“, abgerufen am XX.XX.XX unter