Ein neues Datenschutzabkommen zwischen EU und USA: Europäische Kommission erlässt Angemessenheitsbeschluss

Vor drei Jahren wurde der EU‑US‑Privacy Shield durch das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) für ungültig erklärt. Für viele europäische Unternehmen gestaltete sich seitdem die Übermittlung von personenbezogenen Daten in die USA zu einem erheblichen Risiko, insbesondere durch die drohenden empfindlichen Bußgelder der Datenschutzbehörden. Dieses Risiko dürfte nun mit der Annahme des neuen Angemessenheitsbeschlusses durch die Europäische Kommission am 10.07.2023 zumindest vorläufig ein Ende haben (der „Datenschutzrahmen EU-USA“). Trotz der erfreulichen Nachricht und der leisen Hoffnung, auf bisher rechtlich unsichere Maßnahmen wie Standardvertragsklauseln (die sogenannten SCC) bei Datenübermittlungen in die USA verzichten zu können, besteht jedoch weiterhin eine nachvollziehbare Unsicherheit über die langfristige Stabilität des Beschlusses.

Der Datenschutzrahmen EU-USA als Grundlage

Mit dem neuen Angemessenheitsbeschluss wird festgelegt, dass die USA ein mit dem der EU vergleichbares, angemessenes Schutzniveau für personenbezogene Daten gewährleistet. Dieses Schutzniveau soll insbesondere durch die neu eingeführten verbindlichen Garantien des Datenschutzrahmens EU-USA hergestellt sein. Die verbindlichen Garantien sehen insbesondere die Beschränkung des Zugriffs von US-Geheimdiensten auf EU-Daten auf ein notwendiges und verhältnismäßiges Maß sowie die Einrichtung eines Datenschutzprüfungsgerichts (dem sogenannten „Data Protection Review Court“) vor, zu welchen auch Einzelpersonen aus der EU Zugang haben.

Der Datenschutzrahmen EU-USA zielt darauf ab, alle vom EuGH im Rahmen des Schrems-II-Urteils geäußerten Bedenken hinsichtlich des Datenschutzniveaus in den USA zu beseitigen. Dies wird jedoch bereits von verschiedenen Seiten, insbesondere auch von der österreichischen Bürgerrechtsorganisation Noyb in Frage gestellt. Nach deren Befürchtungen stellt der neue Datenschutzrahmen weitgehend bloß eine Kopie des gescheiterten „Privacy Shield“ dar, womit wiederum kein ausreichender Schutz personenbezogener Daten gewährleistet würde. Auch hat der Europäische Datenschutzausschuss (EDSA) in seiner Stellungnahme vom 28.02.2023 bereits einige Bedenken zu einzelnen Aspekten des damaligen Entwurfs des Datenschutzrahmens EU-USA geäußert, wie z. B. das Fehlen wichtiger Definitionen und unklarer Ausnahmen in Bezug auf Grundsätze. Inwieweit diese aufrecht sind, bleibt abzuwarten.

Auswirkungen des Angemessenheitsbeschlusses

Auf Basis des neuen Angemessenheitsbeschlusses dürfen personenbezogene Daten rechtssicher an US-Unternehmen, die sich dem Datenschutzrahmen EU-USA angeschlossen haben, übermittelt werden, ohne dass weitere datenschutzrechtliche Sicherheitsmaßnahmen getroffen werden müssen. So müssen beispielsweise für Datenübermittlungen an solche US-Unternehmen keine SCC mehr vereinbart werden. US-Unternehmen können sich dem Datenschutzrahmen EU-USA anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzmaßnahmen verpflichten. Dazu gehört zum Beispiel die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr benötigt werden.

Das bedeutet zum Beispiel für europäische Webseitenbetreiber, dass ab dem 10.07.2023 Tools wie Google Analytics, die zu einer Übermittlung personenbezogener Daten in die USA führen können, wieder ohne gesonderte datenschutzrechtliche Sicherheitsmaßnahmen eingesetzt werden können. Dies freilich unter der Prämisse, dass sich das entsprechende Unternehmen, das das Tool bereitstellt und somit die personenbezogenen Daten erhält, zur Einhaltung des Datenschutzrahmen EU-USA verpflichtet hat. Durch den Datenschutzrahmen EU-USA wird es freilich dennoch nicht zur Ablöse der wenig beliebten „Cookie-Banner“ kommen, da die dahinterstehenden Aufklärungs- und Einwilligungspflichten unverändert sind. Die Verpflichtung zur Einholung der Zustimmung für die Verwendung technisch nicht notwendiger Cookies oder für die technische Speicherung oder den Zugriff auf Daten auf Endgeräten ist nämlich in der Richtlinie 2002/58/EG geregelt, die in Österreich im Telekommunikationsgesetz umgesetzt wurde.

Fazit

Man kann mit gutem Grund sagen, dass der neue Angemessenheitsbeschluss der EU-Kommission angesichts der Datenschutzunsicherheiten der letzten Jahre zu mehr Rechtssicherheit bei der Datenübermittlung in die USA führt. Vor allem europäische Unternehmen, die von US-Tech-Firmen wie Microsoft oder Google abhängig sind oder deren Produkte einsetzen möchten, können vermutlich (zumindest vorerst) durchatmen.

Mit der Erlassung des Angemessenheitsbeschlusses werden jedoch jene Stimmen wieder lauter werden, die den Datenschutzrahmen EU-USA bereits im Vorfeld zum Teil heftig kritisiert hatten. Diese werden nur noch auf die erste Gelegenheit warten, den neuen Datenschutzrahmen EU-USA anzufechten. Schon jetzt ist absehbar, dass sich der Datenschutzrahmen EU-USA früher oder später der Prüfung durch den EuGH wird stellen müssen.

Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.