Einleitung:
Am Montag, 10. Juli hat die Europäische Kommission ihren Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen veröffentlicht. Dieser Beschluss soll sicherstellen, dass die Übermittlung personenbezogener Daten von der EU in die USA rechtskonform und mit angemessenem Datenschutz erfolgt. Während die Europäische Kommission betont, dass die USA ein angemessenes Schutzniveau bieten, werfen einige Aspekte des Beschlusses Fragen auf und erfordern eine kritische Betrachtung. In diesem Blog-Beitrag werden wir den Beschluss in aller Kürze analysieren und einen Ausblick auf mögliche Entwicklungen, ähnlich wie bei Schrems I und Schrems II, geben.
I. Der US-Angemessenheitsbeschluss und seine Bedeutung
Der Angemessenheitsbeschluss ist ein Instrument im Rahmen der Datenschutz-Grundverordnung (DSGVO), das ermöglicht, personenbezogene Daten aus der EU in Drittländer zu übermitteln, die ein vergleichbares Datenschutzniveau bieten (sollen). Mit dem Angemessenheitsbeschluss können Daten frei und sicher in die USA übertragen werden, ohne dass es einer gesonderten Rechtsgrundlage hierzu bedarf. Der Beschluss bezieht sich speziell auf den EU-US-Datenschutzrahmen, der bestimmte Anforderungen und Schutzmaßnahmen für den Datenverkehr zwischen der EU und den USA festlegt.
II. Die Bewertung der Angemessenheit:
Die Angemessenheit bezieht sich nicht auf eine identische Datenschutzgesetzgebung, sondern auf eine „wesentliche Gleichwertigkeit“ des Datenschutzrahmens im Drittland im Vergleich zur EU. Festgelegte Kriterien, die bei der Bewertung der Angemessenheit berücksichtigt werden, sind insbesondere Datenschutzgrundsätze, individuelle Rechte, unabhängige Aufsicht und effektive Rechtsbehelfe.
III. Der EU-US-Datenschutzrahmen:
Der Angemessenheitsbeschluss bezieht sich auf den EU-US-Datenschutzrahmen, der spezifische Anforderungen und Garantien für den Datenverkehr zwischen der EU und den USA enthält. Der Rahmen gewährt EU-Bürgern neue Rechte in Bezug auf den Zugang, die Korrektur und Löschung ihrer Daten. Zudem wurden Mechanismen zur Beilegung von Streitigkeiten und zur Wiedergutmachung bei Datenverstößen geschaffen. US-Unternehmen, die am EU-US-Datenschutzrahmen teilnehmen möchten, müssen bestimmte Datenschutzverpflichtungen erfüllen und sich einer Überprüfung durch das US-Handelsministerium unterziehen.
IV. Einschränkungen und Sicherheitsvorkehrungen für den Zugriff auf Daten:
Ein wesentlicher Aspekt des Angemessenheitsbeschlusses ist die Berücksichtigung der Schutzmaßnahmen für den Zugriff auf personenbezogene Daten durch US-Geheimdienste. Die USA haben neue verbindliche Schutzmaßnahmen eingeführt, um den Bedenken des Europäischen Gerichtshofs in den Urteilen Schrems I und Schrems II gerecht zu werden. Dazu gehören Beschränkungen des Zugriffs auf Daten und die Schaffung eines unabhängigen Rechtsbehelfsmechanismus für Beschwerden von Europäern.
V. Der neue Rechtsbehelfsmechanismus im Bereich der nationalen Sicherheit:
Die USA haben einen zweistufigen Rechtsbehelfsmechanismus eingeführt, um Beschwerden von EU-Bürgern über den Zugriff auf ihre Daten durch US-Geheimdienste zu bearbeiten. Dieser Mechanismus umfasst die Untersuchung von Beschwerden durch den „Civil Liberties Protection Officer“ und die Möglichkeit, vor dem neu geschaffenen Data Protection Review Court Berufung einzulegen. Der Rechtsbehelfsmechanismus soll sicherstellen, dass Beschwerden angemessen geprüft und gelöst werden.
Wieso wir nicht wussten, ob wir jetzt lachen sollten oder weinen, gibt es in Teil 2 der Reihe mit dem Titel „Ausblick zu Klageverfahren wie Schrems 3 zum EU-US-Datenschutzrahmen“.
Bei Ihren Entscheidungen und datenschutzrechtlich notwendigen Dokumentationen stehen Ihnen Bernhard Brands und das Team der Brands Consulting gerne zur Seite. Als externer Datenschutzbeauftragter und Datenschutzberater unterstützen wir Sie bei der Digitalisierung Ihrer Unternehmensprozesse, so auch rund internationale Datentransfere. Flankierend dazu leistet die Byte Solution, als IT-Dienstleister und Schwestergesellschaft der Brands Consulting, den technischen Support für die Realisierung ihrer IT-Projekte. Auch das richtige Datenschutzmanagementsystem, die PRIMA Cloud, und das Hinweisgebersystem, der PRIMA Hinweisgeber, gehören zu den Eigenentwicklungen des Teams.
Für wen das noch nicht genug ist, der findet in der PRIMA Compliance den passenden Partner, um die gewünschte Compliance im Unternehmen oder der Behörde umzusetzen, z. B. durch die Stellung einer Ombudsperson mit PRIMA Hinweisgeber, dem vermutlich kostengünstigsten Whistleblower-System auf dem deutschen Markt.
Haben Sie noch Fragen? Hier geht es zum Kontakt oder direkt zum Datenschutz-Angebot, denn wir sind gerne für Sie da!