Das Problem

Für Unternehmen ist der Transfer personenbezogener Daten in die USA aufgrund der Schrems II-Entscheidung des Europäischen Gerichtshofs (EuGH) mit erheblichen Risiken verbunden. Nachdem das Gericht dem sogenannten EU-US Privacy Shield eine Absage erteilte, fehlt es an einer sicheren Rechtsgrundlage. Zahlreiche Verantwortliche entscheiden sich dennoch für den Datentransfer in die USA, da die benötigten Softwareprodukte von Herstellern aus den USA stammen, z. B. das vielbesprochene Microsoft Office 365. Mangels sicherer Rechtsgrundlage müssen die Unternehmen geeignete Garantien beibringen, die ein der EU entsprechendes Datenschutzniveau gewährleisten. Einzelheiten können den Empfehlungen zu ergänzenden Maßnahmen für internationale Datentransfers des Europäischen Datenschutzausschuss (EDSA) entnommen werden. In der Praxis scheitert die Umsetzung dieser Alternativmaßnahmen jedoch zumeist an den fehlenden Gestaltungsmöglichkeiten im Verhältnis zu den großen Herstellern. Die letzte Abmahnwelle in Sachen „Google Fonts“ machte deutlich, dass europäische Unternehmen trotz des bekannten Dilemmas von den zuständigen Aufsichtsbehörden und Gerichten in die Pflicht genommen werden.

Beschlussentwurf der europäischen Kommission für eine Angemessenheitsentscheidung als Lösungsansatz

Doch für den problematischen Datentransfer in die USA ist Licht am Ende des Tunnels zu sehen. Die EU-Kommission hat am 13. Dezember 2022 das Verfahren zur Annahme eines Angemessenheitsbeschlusses für einen sicheren Datenverkehr mit den USA ein- und dem EDSA einen Beschlussentwurf für einen neuen Angemessenheitsbeschluss weitergeleitet. Dem Beschlussentwurf liegen Zusagen der US-Regierung über neue Regeln und Garantien für den Zugriff der US-Geheimdienste auf die Daten aus Europa zugrunde. Zudem sollen die Rechtsbehelfe für Einzelpersonen gestärkt werden. Die EU-Kommission wird den neuen Angemessenheitsbeschluss voraussichtlich im ersten Halbjahr 2023 erlassen, wenn der EDSA und die einzelnen Mitgliedstaaten zustimmen.

Ausblick

Das neue „Transatlantic Data Privacy Framework“ wäre nach Safe Harbor und Privacy Shield das dritte Abkommen, welches den Versuch unternimmt, den Datentransfer in die USA mit einer eigenen Rechtsgrundlage abzusichern. Der EuGH wird auch diesen Angemessenheitsbeschluss kurz nach Inkrafttreten überprüfen. Der EuGH wird den Beschluss an den Maßstäben der DSGVO und der Schrems-II-Entscheidung sowie den Empfehlungen des EDSA für internationale Datentransfers prüfen. Voraussetzung für die Feststellung der Angemessenheit ist, dass die Rechtsstaatlichkeit, die Achtung der Menschenrechte und der Grundfreiheiten in den USA hinreichend gewährleistet werden. Insbesondere der Datenzugriff von US-Behörden für Zwecke der nationalen Sicherheit muss verbindlich auf das absolut Notwendige beschränkt sein. Inwieweit sich die Praxis der US-Behörden trotz entsprechender Zusagen der US-Regierung ändert, bleibt jedoch abzuwarten. Es ist nicht unwahrscheinlich, dass der EuGH auch diesen dritten Angemessenheitsbeschluss kippt. Für die verantwortlichen Unternehmen wäre die Zeit des Aufatmens damit nur von kurzer Dauer.