Haben Sie Fragen oder Interesse? +49 (511) 165 80 40 90
de

von

Im Dezember letzten Jahres hat die Europäische Kommission das Verfahren zur Annahme eines Angemessenheitsbeschlusses für den Datenschutzrahmen EU-USA (engl.: „Data Privacy Framework“ – DPF) eingeleitet. Knapp drei Monate später ist der erste Schritt im Annahmeverfahren erfolgreich durchlaufen worden: Der Europäische Datenschutzausschuss (im Folgenden „EDSA“) hat seine Stellungnahme zum Entwurf des Angemessenheitsbeschluss am 28. Februar 2023 veröffentlicht – und sich bzgl. der Verbesserungen positiv geäußert, aber auch deutliche Worte zur Kundgabe seiner Bedenken gefunden.

Hintergrund

Der transatlantische Datentransfer ist derzeit nur unter Einhaltung strenger Maßnahmen, ergo einem überaus erhöhten Aufwand möglich: Es sind zusätzliche Garantien einzuhalten, z.B. mittels Standardvertragsklauseln, die jedoch keine allgemeinwirksame Lösung darstellen. Das Gesetz, explizit Art. 45 Abs. 3 DSGVO, sieht eine Erleichterung über einen Angemessenheitsbeschluss vor: Ist die Kommission der Ansicht, dass ein Drittstaat ein der EU bzw. dem EWR vergleichbares Datenschutzniveau aufweist, kann sie ihm dies im Wege eines Durchführungsaktes, namentlich dem Angemessenheitsbeschluss, zertifizieren, sodass künftig keine weiteren Schutzmaßnahmen bei einem Datentransfer in diesen Drittstaat einzuhalten sind.

Bevor das Privacy Shield im Schrems II-Urteil für ungültig erklärt wurde, existierte mit diesem ein solcher Angemessenheitsbeschluss, der die Datenübermittlung in die USA vereinfachte. Darauf aufbauend bastelten die Europäische Kommission und die US-Regierung seither kontinuierlich an einer Nachfolge, die die Bedenken des Europäischen Gerichtshofs ausräumen sollte. Es resultierte das US-Dekret (Executive Order) „Enhancing Safeguards for United States Signals Intelligence Activities”, auf dessen Grundlage die Kommission ihren Entwurf eines neuen Angemessenheitsbeschlusses vorlag.

Stellungnahme des EDSA

In seiner Stellungnahme begrüßte der EDSA grundlegende Verbesserungen des EU-US-Datenschutzrahmens, äußerte aber ebenso anhaltende Bedenken, deren Umsetzung er als Voraussetzung für den Bestandschutz der Angemessenheitsentscheidung sieht. Seine Äußerungen bezog der EDSA sowohl auf die kommerziellen Aspekte als auch auf den Zugang und die Verwendung der Daten durch die US-Behörden.

Der EDSA lobte zunächst die Einführung von Anforderungen, die den Grundsätzen der Notwendigkeit und Verhältnismäßigkeit für die nachrichtendienstliche Datenerhebung in den USA (Signals Intelligence) entsprechen. Diese regeln den Zugang der Regierung zu den in die USA übermittelten Daten. Gleichwohl betonte der EDSA auch, dass die neu eingeführten Grundsätze zu deren Wirksamkeit einer genauen Überwachung bedürfen.

Auch sah der EDSA eine deutliche Verbesserung in der Einführung des neuen Rechtsbehelfsmechanismus für betroffene Personen in der EU: Dieser soll nämlich fortan der Überprüfung durch den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (engl. „Privacy and Civil Oversight  Board“ – PCLOB) unterliegen. Überdies soll im Bestreben nach mehr Unabhängigkeit in der Datenschutzprüfung das entsprechende Gericht, namentlich der „Data Protection Review Court“ (DPRC) über wirksamere Befugnisse zur Behebung von Datenschutzverstößen verfügen. Dass dies umgesetzt werde, möchte der EDSA – um der Wirksamkeit der Rechtsbehelfe willen – genaustens beobachten. Nichtsdestotrotz äußerte der EDSA auch seine Besorgnis über die Anwendung der Standardantworten des Gerichts, die es im Beschwerdeverfahren zur Information über die Feststellung von Verstößen oder das Fehlen derselben nutzt. Er fordert die Kommission daher im Kern auf, die praktische Umsetzung des Rechtsbehelfsverfahrens zu überwachen.

Im Allgemeinen spricht sich der EDSA dafür aus, dass die Angemessenheitsentscheidung nach der ersten Überprüfung fortlaufend mindestens alle drei Jahre stattfinden soll – unter Beteiligung des EDSA selbst.

Weitere Schritte

Die geäußerten Vorstellungen des EDSA scheinen in ihrer Umsetzung nicht unmöglich, sodass die Stellungnahme zunächst als weiterer Lichtblick für das Privacy Shield 2.0 gesehen werden kann.

Nunmehr fehlt der Kommission noch die Zustimmung eines Ausschusses, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Auch kann das Europäische Parlament sein Recht auf Kontrolle von Angemessenheitsbeschlüssen ausüben, bevor dieser endgültig durch die Kommission angenommen werden kann.

Zurück

lexICT...

... ist eine Datenschutz-Beratungsfirma mit Sitz in Hannover und Wien, die großen Wert auf eine individuelle Beratung und die Entwicklungen pragmatischer Lösungen setzt. Unser Team besteht ausschließlich aus Jurist*innen, die sich im Datenschutz spezialisiert haben und über den gewissen Nerd-Faktor verfügen, um die Nische zwischen Recht und Technik optimal ausfüllen zu können.

Kontaktieren Sie uns!

lexICT GmbH
Ostfeldstraße 49
30559 Hannover

+49 (511) 165 80 40 90

+49 (511) 165 80 40 99

Copyright 2024. All Rights Reserved.
Einstellungen gespeichert
Datenschutzeinstellungen

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

You are using an outdated browser. The website may not be displayed correctly. Close