Transatlantische Datentransfers: aktueller Stand zwischen EU und USA

Seitdem der sogenannte Privacy Shield für Datentransfers zwischen der EU und den USA mit dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) für unwirksam erklärt wurde, wird diskutiert, wie die im Urteil angesprochenen Probleme behoben und Datenübertragungen fortgesetzt werden können. Es gibt nun neue Entwicklungen, die hoffen lassen.

Privacy Shield 2.0: ein Überblick

Nach Bekanntgabe einer grundsätzlichen Einigung zwischen der EU-Kommission und den USA am 7. Oktober 2022 unterzeichnete US-Präsident Biden eine Executive Order (EO) zur Implementierung des Privacy Shield 2.0, dem aktualisierten Data Privacy Framework für Datentransfers zwischen der EU und den USA (EU-US DPF).

EU-US DPF basiert zwar ebenso wie der ursprüngliche Privacy Shield auf Selbstzertifizierung, die beiden wichtigsten Punkte des Schrems-II-Urteils werden jedoch angegangen:

  1. Die Notwendigkeit und Verhältnismäßigkeit des Datenzugriffs durch US-Geheimdienste
  2. Unzulängliche Rechtsbehelfe für Verbraucher aus der EU

Notwendigkeit und Verhältnismäßigkeit

Die neue Executive Order gibt vor, dass US-Geheimdienste nur dann auf Daten zugreifen dürfen, wenn dies…

  • „zur Verfolgung einer bestätigten geheimdienstlichen Priorität erforderlich“ ist,
  • und „nur in dem Ausmaß und auf eine Art und Weise, das bzw. die der bestätigten geheimdienstlichen Priorität, zu der die Geheimdienste autorisiert wurden, entspricht“.

Dies ähnelt dem Datenminimierungsprinzip der DSGVO und stellt ein entscheidendes Kriterium für den Angemessenheitsbeschluss der EU dar, an dem der ursprüngliche Privacy Shield scheiterte.

Weiterhin wird in der EO festgelegt, dass die Interessen der Geheimdienste gegen die Folgen für Einzelpersonen abgewogen werden müssen, und zwar „unabhängig von Nationalität und Wohnort der Person“.

Rechtsbehelfe

Die Executive Order etabliert außerdem einen neuen, zweistufigen Rechtsschutzmechanismus für Einzelpersonen.

Im ersten Schritt kann eine Beschwerde beim Civil Liberties Protection Officer (CLPO) eingereicht werden, der die Forderung prüft und entsprechende Abhilfemaßnahmen veranlasst, falls ein Verstoß festgestellt wird.

Ist die Person, die die Beschwerde eingereicht hat, mit der Einschätzung des CLPO nicht einverstanden, kann sie im zweiten Schritt bei einem sogenannten Data Protection Review Court Einspruch einlegen, das die Entscheidung des CLPO aufheben und neue Abhilfemaßnahmen festlegen kann, denen die Geheimdienste entsprechen müssen.

Warum wurde statt einem Gesetz eine Executive Order erlassen?

Das liegt vor allem an den politischen Abläufen in den USA, aber auch an den Differenzen zwischen der demokratischen und republikanischen Partei.

Es gab bereits einen Entwurf für ein Bundesgesetz, der auf beiden Seiten Zustimmung gefunden hatte. Nancy Pelosi erklärte jedoch, sie würde kein Bundesgesetz akzeptieren, das den Gesetzen des Bundesstaates Kalifornien „vorgreift“, und verhinderte damit die Verabschiedung des Gesetzes.

Eine Executive Order lässt sich wesentlich leichter umsetzen, weil sie allein auf einer Entscheidung des aktuellen US-Präsidenten beruht. Die EO gab Präsident Biden die Möglichkeit, die vom EuGH angesprochenen Probleme anzugehen und den Datenfluss zwischen der EU und den USA wiederherzustellen.

Außerdem sind Executive Orders rechtsgültig und können nicht einfach vom Kongress der USA außer Kraft gesetzt werden. Der amtierende Präsident kann sie jedoch revidieren. Angenommen, Präsident Biden verliere die nächste US-Präsidentschaftswahl. In diesem Fall könnte sein Nachfolger die Executive Order zurücknehmen oder ergänzen, was Vereinbarungen zwischen der EU und den USA in Bezug auf transatlantische Datenflüsse beeinträchtigen könnte.

 

Wie geht es also weiter mit internationalen Datentransfers?

Am 13. Dezember 2022 hat die Europäische Kommission dem Europäischen Datenschutzausschuss (EDSA) den Entwurf eines Angemessenheitsbeschlusses vorgelegt und das Verfahren zu dessen Annahme eingeleitet.

Üblicherweise folgt der Prozess ab diesem Punkt dem folgenden Ablauf:

1. Stellungnahme des EDSA

Der EDSA prüft den Beschluss der EU-Kommission und gibt eine unverbindliche Stellungnahme ab. Das bedeutet, die Kommission kann die Einschätzung des EDSA ignorieren, was allerdings unwahrscheinlich ist. Zu diesem Zeitpunkt hat die Kommission auch die Möglichkeit, den Beschluss zu ergänzen. 

2. Stellungnahme des Europäischen Parlaments

Das Europäische Parlament kann eine Stellungnahme zum Thema abgeben, übt jedoch keine formelle Rolle im Prozess aus.

3. Zustimmung der Mitgliedsstaaten

Im wohl wichtigsten Schritt des Prozesses versucht die Kommission, die Zustimmung der Vertreter aller EU-Mitgliedsstaaten einzuholen. Der Beschluss muss er von der Mehrheit, d. h. 55 % der EU-Mitgliedsstaaten (entspricht 65 % der EU-Gesamtbevölkerung) angenommen werden. 

4. Umsetzung des Beschlusses

Erhält der Beschluss die Zustimmung der Mitgliedsstaaten, wird er formell angenommen und tritt nach Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Dieser Vorgang dauert in der Regel etwa sechs Monate. Beim EU-US DPF ist daher nicht vor März 2023 mit der Annahme des Angemessenheitsbeschlusses zu rechnen. Außerdem wird der Beschluss voraussichtlich nur unter der Bedingung umgesetzt, dass die USA den in der EO festgelegten Rechtsschutz aufrechterhalten.

Die EU muss auch vom US Attorney General als für das EU-US DPF „qualifizierter Staat“ benannt werden. Dies gilt allerdings als reine Formalität.

Was beduetet das Transatlantic Data Privacy Framework für die transatlantischen Datenflüsse?

Wenn nun alles glatt läuft und der Entwurf für den Angemessenheitsbeschluss angenommen und umgesetzt wird, bliebe die USA zwar offiziell ein Drittland aus Sicht der EU, der Datentransfer würde allerdings erleichtert werden.

Durch Bidens Unterschrift unter der Executive Order signalisierten die USA ihre Bereitschaft, sich beim Datenschutz den Vorgaben der EU anzunähern. Überraschend ist das deshalb, weil die USA sich dadurch in ihre eigene Gesetzgebung eingreifen lassen – und das ist für das Land eher untypisch. Auf jeden Fall deutet die Unterschrift darauf hin, dass die USA bereit sind, sich in Sachen Datenschutzrecht zu verbessern.

Sie sind gespannt, wie es weitergeht? Dann geht es Ihnen genauso wie uns. Wir halten Sie hier auf dem Blog auf jeden Fall auf dem Laufenden. Abonnieren Sie unseren Newsletter und erfahren Sie so direkt von Neuigkeiten in Datenschutz, Informationssicherheit und Compliance.

 
Empfehlungen zum internationalen Datenaustausch Empfehlungen zum internationalen Datenaustausch

Empfehlungen zum internationalen Datenaustausch

Erfahren Sie hier, was Sie bei Datentransfers in die USA und andere Drittländer beachten müssen

Jetzt kostenlos herunterladen

Über den Autor

Inessa Meckler Inessa Meckler
Inessa Meckler

Inessa Meckler ist Juristin (Dipl. Jur.) und zertifizierte Datenschutzbeauftragte. Bei DataGuard berät sie Kunden vorwiegend aus den Bereichen Marketing, Werbung und PR sowie aus der Industrie und Fertigung. Darüber hinaus unterstützt sie die interne Rechtsabteilung als Juristin. Bereits während ihres Studiums hat sie sich vertieft mit den Bereichen Europarecht, Völkerrecht und Menschenrechtsschutz beschäftigt.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren