Die Frage nach der Zulässigkeit internationaler Datentransfers in die USA beschäftigt uns seit mehreren Jahren. Im November berichteten wir in unserem Newsletter zuletzt über die Ankündigung eines neuen Angemessenheitsbeschlusses der EU-Kommission.
Nach der DSGVO dürfen personenbezogene Daten aus der EU nur unter bestimmten Bedingungen in Drittstaaten übermittelt werden. Die Einhaltung des durch die DSGVO etablierten Schutzniveaus steht dabei im Vordergrund. Berücksichtigt werden u.a. Datenschutzbestimmungen des Empfängerstaats, Rechtsschutzmöglichkeiten und die Rolle der Datenschutzaufsicht.
Ein Angemessenheitsbeschluss wie der jetzt für die USA angekündigte attestiert einem Drittland, dass das Schutzniveau gegeben ist. Für eine Reihe von Staaten, wie zum Beispiel Israel, Japan und das Vereinigte Königreich, existieren bereits Angemessenheitsbeschlüsse. In diese Staaten können personenbezogene Daten ohne weitere Voraussetzungen übertragen werden.
Im Dezember kündigte dazu die Europäische Kommission an, dass sie plane, einen neuen Angemessenheitsbeschluss für die Vereinigten Staaten zu fassen.
Am 13. Dezember 2022 war es dann soweit und die EU Kommission veröffentlichte den Entwurf für diesen neuen Angemessenheitsbeschluss, der wieder rechtssichere Datentransfers von der Europäischen Union in die Vereinigten Staaten von Amerika ermöglichen soll.
Die Vereinigten Staaten gewährleisten demnach unter bestimmten Voraussetzungen ein angemessenes Schutzniveau für personenbezogene Daten, die aus der EU an US-Unternehmen übermittelt werden. Zu diesem Schluss ist die EU-Kommission bei ihrer Prüfung gekommen, nachdem die US-Regierung entsprechende Verwaltungsanweisungen („Executive Order“) erlassen hatte.
Was dies für Unternehmen bedeutet
Wahrscheinlich werden europäische Unternehmen ab dem dritten Quartal 2023 in der Lage sein, EU-Nutzerdaten frei an in den USA ansässige Dienstleister zu übermitteln.
Grundlage dafür wäre das nunmehr dritte Datenschutzabkommen zwischen der EU und den USA – nach den zwei glücklosen Rahmenabkommen „Safe Harbour“ und “Privacy Shield“, die beide vom Europäischen Gerichtshof nach Klagen des österreichischen Datenschutzaktivisten Max Schrems gekippt wurden.
Es ist zu erwarten, dass Aktivisten erneut versuchen werden, die bevorstehende Entscheidung vor Gericht anzufechten. Es besteht also ein signifikantes Risiko, dass auch die neue Angemessenheitsentscheidung nur von kurzer Dauer sein könnte. Der Europäische Gerichtshof könnte sie dementsprechend ebenfalls wieder aufheben, bis endlich eine wesentliche Änderung entweder der DSGVO oder der US-Überwachungsgesetze verabschiedet wird.
Aus diesem Grund gehen wir davon aus, dass Unternehmen in der EU bei Datenübermittlungen in die USA zumindest eine gewisse Vorsicht walten lassen werden, bis der EuGH eine finale Entscheidung über den neuen Angemessenheitsbeschluss getroffen hat.
Wir werden Sie über die weiteren Entwicklungen auf dem Laufenden halten, auch über den genauen Zeitplan für die vorgeschlagene Regelung.