Etliche Website-Betreiber setzen auf US-Dienste, beispielsweise wenn es ums Tracking geht. Das ist dann aber gar nicht so unproblematisch, wenn in diesem Zuge personenbezogene Daten in die USA übermittelt werden. Wo solch ein Drittstaatentransfer ohnehin als risikobehaftet eingestuft wird, ist die Übermittlung in die USA praktisch nochmal ein Sonderfall, speziell seit der EuGH 2020 das sogenannte Privacy Shield kippte, auf welche der Transfer gestützt werden konnte. Ein Nachfolgemodell, genannt TADPF (Trans-Atlantic-Data-Privacy-Framework), ist in Arbeit und soll bereits in diesem Jahr wieder für eine sichere Rechtsgrundlage – und natürlich ein angemessenes Datenschutzniveau – sorgen. Ob es das auch tun wird, das wurde jetzt infrage gestellt: Der Ausschuss für bürgerliche Freiheiten, Justiz und innere Angelegenheiten des EU-Parlaments hat die Ablehnung des Entwurfs empfohlen.
Background: TADPF als Nachfolger des gekippten Privacy Shields
Bis 2020 konnte die Übermittlung personenbezogener Daten, wie sie zu Hauf erfolgt, auf das „Privacy Shield“ gestützt werden – einen sogenannten Angemessenheitsbeschluss der EU-Kommission. Sollen personenbezogene Daten aus der EU in Drittstaaten fließen, wird dafür konsequenterweise nämlich verlangt, dass auch dort ein angemessenes, mit der Lage in der EU vergleichbares Datenschutzniveau gegeben ist. Die DSGVO sieht dafür verschiedene Wege vor, unter anderem eben die Angemessenheitsbeschlüsse. Hier passiert genau das, was die Bezeichnung verspricht: Die EU-Kommission beschließt „einfach“, dass die Voraussetzungen vorliegen – natürlich nach Prüfung der Gegebenheiten.
Dass dabei nicht zwingend drin steckt, was draufsteht, zeigte die Tatsache, dass sowohl das Privacy Shield als auch dessen Vorgänger, das Safe Harbour Abkommen, vom EuGH gekippt worden sind. Hier hatte man sich angeschaut, ob das versprochene Schutzniveau tatsächlich gegeben ist und kam zu einem eindeutigen Ergebnis. Neben den Angemessenheitsbeschlüssen gibt es noch andere formelle Wege, auf die solch eine Drittstaatenübermittlung gestützt werden kann. Insbesondere die sog. Standardvertragsklauseln werden aktuell in der Praxis viel genutzt. Diese Behelfe ändern im Ergebnis aber als solches wenig am Knackpunkt: Dem niedrigen Schutzniveau, dem die Daten in den USA tatsächlich unterliegen. Auch spezielle Einwilligungen in den Transfer werden genutzt, diese bergen aber ebenfalls Rechtsunsicherheiten.
Ausschuss des EU-Parlaments lehnt Regelungsentwurf ab
Dass das kein Zustand ist, ist klar. Vor etwa einem Jahr starteten insofern Verhandlungen zu einer neuen Rechtsgrundlage für den Datentransfer. Im Oktober 2022 unterzeichnete US-Präsident Biden ein Dekret, das die kritisierten Punkte ausräumen soll. Danach sind etwa strengere Regeln für die Zugriffe durch US-Geheimdienste vorgesehen, sowie auch Rechtsschutzmöglichkeiten für EU-Bürger. Im Dezember legte die EU-Kommission dann den Entwurf für ein neues Regelwerk vor – dessen Ablehnung der Ausschuss des EU-Parlaments jetzt ausdrücklich empfahl.
In dem Dokument erinnert der Ausschuss daran, die Kommission aufgefordert zu haben, keine neuen Angemessenheitsbeschlüsse in dieser Sache zu erlassen, wenn es denn zu keinen bedeutenden Reformen besonders hinsichtlich der Befugnisse von US-Geheimdiensten gekommen sei. Vor diesem Hintergrund würde das aktuelle Vorhaben keine tatsächliche Gleichwertigkeit des Schutzniveaus schaffen, die per Dekret zugesicherten Maßnahmen der USA würden nicht ausreichen. Im Gegensatz zu allen anderen Staaten, die einen Angemessenheitsbeschluss der EU-Kommission erhalten hätten, gebe es in den USA etwa nach wie vor kein föderales Datenschutzgesetz. Zudem könne das im letzten Jahr erlassene Dekret vom US-Präsidenten jederzeit einfach rückgängig gemacht oder geändert werden, und auch inhaltlich würden die Zugeständnisse in verschiedenen Aspekten nicht das notwendige Maß erreichen.
Angemessenheitsbeschluss würde Rechtssicherheit für Unternehmen bringen
Die Aussagen des Ausschusses des EU-Parlaments sind also durchaus gewichtig. Was ist nun deren Folge? Jedenfalls in formeller Hinsicht müssen sie nicht zwingend Auswirkungen haben: Für den Erlass des Angemessenheitsbeschlusses ist die Freigabe durch das EU-Parlament nämlich nicht erforderlich, dieses hat lediglich ein Kontrollrecht. Die EU-Kommission kann den Rechtsakt also davon unabhängig auf den Weg bringen. Was noch aussteht, ist eine Stellungnahme des Europäischen Datenschutzausschusses (EDSA). Die wiederum wird für den 28. Februar erwartet, ist für die Kommission allerdings ebenso wenig bindend. Etwas anders sieht es mit der dann folgenden Abstimmung in einem Ausschuss aus, der aus Vertretern der Mitgliedstaaten besteht. Gibt dieser eine befürwortende Stellungnahme ab, erlässt die Kommission den Rechtsakt. Erteilt der Ausschuss eine ablehnende Stellungnahme, passiert das nicht, zumindest zunächst. Grundsätzlich möglich bleibt der Erlass aber auch dann noch.
Für Unternehmen, die auf eine entsprechende Übermittlung personenbezogener Daten in die USA setzen, würde die Wirksamkeit eines neuen Angemessenheitsbeschlusses zwar unter Umständen etwas Aufwand und Anpassungsbedarf bedeuten, allerdings auch ein großes Plus an Rechtssicherheit: Auf dessen Wirksamkeit und Eignung, eine Rechtsgrundlage für den Verarbeitungsvorgang darzustellen, darf man dann nämlich vertrauen – Auch wenn eine Wahrscheinlichkeit besteht, dass auch diese Regelungen wieder vor Gericht landen und einer Prüfung, angesichts der Rechtslage in den USA, womöglich nicht standhalten.
Kommentar schreiben
Antworten
vielen Dank für Ihren aufschlussreich en Beitrag. Allerdings hätte ich da noch eine Frage. Woraus ergibt sich, dass die Stellungnahmen des EDSA und des EU-Parlaments nicht bindend sind? Und von welchem Ausschuss ist die Rede, wenn Sie schreiben:
"Etwas anders sieht es mit der dann folgenden Abstimmung in einem Ausschuss aus, der aus Vertretern der Mitgliedstaaten besteht. Gibt dieser eine befürwortende Stellungnahme ab, erlässt die Kommission den Rechtsakt. Erteilt der Ausschuss eine ablehnende Stellungnahme, passiert das nicht, zumindest zunächst. Grundsätzlich möglich bleibt der Erlass aber auch dann noch."
Vielen Dank für Ihre Rückmeldung.
__________________________________________________________________________
Antwort der Redaktion
Liebe/r Leser/in,
vielen Dank für Ihren Kommentar.
Der Angemessenheits beschluss wird ausweislich der Regelungen der DSGVO im sogenannten Komitologieverf ahren erlassen. Hierbei werden im Wesentlichen die Gesetzgebungsbe fugnisse an die EU-Kommission übertragen. Geregelt wird das Verfahren durch die Komitologievero rdnung (Verordnung (EU) Nr. 182/2011). Hieraus ergeben sich auch die Einzelheiten zum Ausschuss und zu den Rechten des EU-Parlaments.
Beste Grüße
die Redaktion
Ihre Antwort schreiben