14.12.2022FachbeitragDatenschutz

Update Datenschutz Nr. 126

Neues EU-/US-Datenschutzabkommen auf der Zielgeraden

Seit der EuGH-Entscheidung i. S. Schrems II (wir berichteten mehrfach, zuletzt am 10. Oktober 2022) gibt es keine einfache Lösung für Datentransfers aus der Europäischen Union in die USA. Allerdings hat US-Präsident Joe Biden am 7. Oktober 2022 eine neue sog. Executive Order erlassen, mit der die USA den Bedenken des EuGH hinsichtlich der Verarbeitung von personenbezogenen Daten europäischer Bürger in den USA begegnen wollen. Aus Sicht vieler Datenschützer stellt diese Executive Order einen erheblichen Fortschritt zum alten Privacy Shield dar. Insbesondere adressiert sie ausdrücklich die vom EuGH kritisierten Themen der Verhältnismäßigkeit der Verarbeitung personenbezogener Daten im Rahmen von geheimdienstlichen Überwachungsmaßnahmen sowie der Rechtsschutzmöglichkeiten für europäische Bürger.

Auch wenn viele Datenschutzaktivisten die Executive Order nicht für weitgehend genug halten, hat die Europäische Kommission am 13. Dezember 2022 den Entwurf einer sog. Angemessenheitsentscheidung veröffentlicht. Eine Angemessenheitsentscheidung nach Art. 45 DSGVO erlaubt europäischen Verantwortlichen Datentransfers in das entsprechende Zielland ohne die Vereinbarung von Standardvertragsklauseln oder sonstigen Transfermechanismen und vereinfacht so erheblich die Datentransfers. In Bezug auf die USA ist dies besonders wichtig, da viele technische Dienstleistungen von dort ansässigen Anbietern erbracht werden, die Unternehmen in ihrer täglichen Praxis nutzen.
 
Der Entwurf der Angemessenheitsentscheidung muss nun noch durch die Gremien gehen, wofür allgemein ein Zeitraum von ca. vier bis sechs Monaten erwartet wird. Bis dahin können sich Unternehmen noch nicht auf den Beschluss nach Art. 45 DSGVO für Datentransfers in die USA berufen. 

Allerdings können sie in der Zwischenzeit weiterhin ihre Datentransfers nach Art. 46 DSGVO mit Standardvertragsklauseln gestalten. Dabei ist zwar zu beachten, dass jeweils ein sog. Transfer Impact Assessment, also eine Bewertung der Risiken aus dem Transfer für die Betroffenen erfolgen muss, aber schon die Executive Order alleine erleichtert dieses Transfer Impact Assessment. Der Entwurf der Angemessenheitsentscheidung kann ebenfalls in dem jeweiligen Transfer Impact Assessment berücksichtigt werden, so dass Unternehmen auch Gestaltungsmöglichkeiten haben, bis die Angemessenheitsentscheidung in Kraft tritt. 

Zukünftig werden Unternehmen beachten müssen, dass auch unter Gültigkeit eines neuen Angemessenheitsbeschlusses für die Executive Order die Verantwortlichen stets prüfen müssen, ob die Daten in den USA verbleiben oder ob aus den USA weitere Transfers in andere Drittländer vorgenommen werden. Ist das der Fall, muss für jedes dieser Drittländer geprüft werden, wie dort die Datenschutzlage ist und entsprechende Standardvertragsklauseln vereinbart werden, wenn für diese anderen Drittländer ebenfalls keine Angemessenheitsbeschlüsse vorliegen. Angemessenheitsbeschlüsse liegen bisher nur vor für folgende Länder: Andorra, Argentinien, Kanada, Färöer, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Südkorea, Uruguay und Vereinigtes Königreich. 

Im Ergebnis ist zu sagen, dass der Datentransfer in die USA wahrscheinlich in den nächsten Monaten wieder etwas einfacher wird, als aktuell. Es kann aber gut sein, dass dies nur ein temporärer Zustand ist. Die Datenschutzaktivisten haben bereits rechtliche Maßnahmen gegen den Angemessenheitsbeschluss angekündigt. Erfahrungsgemäß benötigen diese zwei bis drei Jahre, um vor den EuGH zu kommen. In dieser Zeit können die Unternehmen sich aber auf den Angemessenheitsbeschluss auf jeden Fall verlassen. Der zuständige EU-Justizkommissar Didier Reynders hofft, dass das neue Abkommen eine 70 – 80 %ige Chance hat, auch ein EuGH-Verfahren zu überstehen. Es bleibt abzuwarten, ob er recht hat. 

In der Zwischenzeit gibt es aber auch noch ein anderes ToDo: 

Verträge, die auf den alten Standardvertragsklauseln beruhen, die 2001 bzw. 2010 von der Europäischen Kommission erlassen wurden, haben nur noch bis zum 27. Dezember 2022 unverändert Bestand.
 
Ab dem 27. Dezember 2022 müssen für alle solchen internationalen Datentransfers, gleich welches Zielland, dringend die neuen Standardvertragsklauseln vereinbart sein. Versäumen Unternehmen diese Frist, entfällt die privilegierende Wirkung des Art. 46 DSGVO und der Transfer wäre unrechtmäßig. Daher gilt es spätestens jetzt, diese Verträge zu überprüfen und aktualisieren.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.