Beschlussentwurf zu einem neuen Datenübermittlungsabkommen zwischen den Vereinigten Staaten und der Europäischen Union
Die Europäische Kommission (EU-Kommission) hat Ende letzten Jahres einen Beschlussentwurf vorgelegt, der sich noch einmal mit der Datenübermittlung in die USA auseinandersetzt. Durch das sogenannte „Trans-Atlantic Data Privacy Framework“ ist erneut eine Einigung zum transatlantischen Datenverkehr erzielt worden. Mit diesem Beschluss erklärt die EU-Kommission das Datenschutzniveau in den Vereinigten Staaten (USA) für angemessen, sodass Datentransfers ohne datenschutzrechtliche Bedenken stattfinden können. Dadurch sollen auch die vom Europäischen Gerichtshof geäußerten Bedenken in einem Urteil aus dem Jahr 2020 zum Datentransfer in die USA aus der Welt geschafft werden.
Bereits im März letzten Jahres vereinbarten die USA und die EU-Kommission wichtige Eckpunkte des Beschlusses, die beabsichtigten Ziele und wie sie erreicht werden können. Seitdem arbeiteten Juristen daran, diese Vereinbarungen in Rechtsvorschriften zu verfassen. Dabei ist der jetzige sogenannte Angemessenheitsbeschluss entstanden.
Aber was ist ein solcher Angemessenheitsbeschluss? Nach Artikel 44 der Datenschutzgrundverordnung (DSGVO) ist jede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland verarbeitet werden sollen, nur zulässig, wenn die verantwortlichen Datenverarbeiter die Bestimmungen der DSGVO einhalten. Das heißt, ein Transfermechanismus muss den Datentransfer legitimieren. Der derzeit rechtssicherste Transfermechanismus ist der des Angemessenheitsbeschlusses der EU-Kommission nach Artikel 45 der DSGVO. Darin wird festgestellt, dass ein Drittland, ein Gebiet eines Drittlandes oder ein bestimmter Sektor des Drittlandes ein angemessenes Datenschutzniveau gewährleistet. Damit nicht wahllos Angemessenheitsbeschlüsse ergehen können, sind gewisse Aspekte zu beachten, um ein solches Schutzniveau annehmen zu können. So sind die Prinzipien eines Rechtsstaates im Drittland einzuhalten, Menschenrechte müssen geachtet werden, Datenschutzbehörden mit entsprechenden Kompetenzen müssen bestehen und internationale Verpflichtungen müssen erfüllt werden. Liegt nun ein solcher Angemessenheitsbeschluss vor, dürfen Unternehmen personenbezogene Daten ohne zusätzliche Voraussetzungen an Empfänger in das bestimmte Drittland übermitteln.
Mit diesem Angemessenheitsbeschluss sollen einige Garantien eingeführt und umgesetzt werden. Damit wird gewährleistet, dass die signalerfassende Aufklärung einer strengen, mehrstufigen Absicht unterstellt wird. So wird die Einhaltung von Beschränkungen für Überwachungsmaßnahmen gewährleistet. Außerdem sollen neue Rechtsbehelfsmöglichkeiten im Fall der Verletzung eines Rechts entstehen. Es ist von einem zweistufigen Rechtsbehelfsmechanismus die Rede, wodurch verbindlich Abhilfemaßnahmen angeordnet werden. Dadurch stehen effektive Rechtsbehelfsmöglichkeiten nun auch Einzelpersonen aus der Europäischen Union zur Verfügung. Beschwerden von EU-Bürgern sollen über den Zugriff auf Daten durch US-Nachrichtendienste untersucht und behandelt werden können. Dafür wird eine neue unabhängige Prüfstelle namens „Data Protection Review Court“ eingerichtet. Auch der bisherige unbeschränkte Zugriff der US-Nachrichtendienste soll durch ein neues Regelwerk und verbindliche Schutzmaßnahmen, wie zum Beispiel die Notwendigkeit eines solchen Zugriffs zur Sicherstellung der nationalen Sicherheit, beschränkt werden. Wichtig ist stets, dass die Rechte des einzelnen nicht unverhältnismäßig beschränkt werden. Mithin gibt es auch strenge Verpflichtungen für diejenigen US-Unternehmen, die übermittelte Daten aus der EU verarbeiten. Diese haben insbesondere die Verpflichtung, die Einhaltung des Abkommens ggü. dem US-Handelsministerium anhand einer Selbstzertifizierung zu bestätigen.
Insoweit ist der Beschluss sehr bedeutsam für den Schutz der Rechte der Bürger sowie den transatlantischen Handel in allen Wirtschaftszweigen. Dies gilt vor allem auch für kleine und mittelständische Unternehmen.
Der Beschluss muss nun das Annahmeverfahren durchlaufen. Zuerst wird der Entwurf dafür dem Europäischen Datenschutzausschuss vorgelegt. Sodann muss die EU-Kommission die Zustimmung eines weiteren Ausschusses einholen. Dieser besteht aus Vertretern der Mitgliedstaaten. Zuletzt muss auch das Europäische Parlament seine Zustimmung erteilen. Dann kann die EU-Kommission den endgültigen Angemessenheitsbeschluss annehmen. Mit der Annahme wird im ersten Quartal diesen Jahres gerechnet.
Ab Inkrafttreten dieses Beschlusses zum Datenschutzrahmen wird regelmäßig eine Prüfung zu dessen Funktionsfähigkeit durch die EU-Kommission gemeinsam mit den europäischen Datenschutzbehörden und den zuständigen US-Behörden erfolgen.