IPT Germany

Update: Transatlantischer Datentransfer

By / / Data Protection, Datenschutz

Von Dr. Philipp Adelberg und Andreas Rüdiger

Einleitung

In die Debatte um transatlantische Datentransfers, einen etwaigen Angemessenheitsbeschluss für die USA und das EU-US Data Privacy Framework („DPF“) kommt neuer Schwung. Am 14.2.2023 hat das der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäische Parlaments seinen Entwurf für einen Entschließungsantrag hinsichtlich der Adäquanz des Schutzes personenbezogener Daten nach dem DPF veröffentlicht (zu finden unter RD_Statements (europa.eu)). Zwei Wochen später, am 28.2.2023, veröffentlichte der Europäische Datenschutzausschuss („EDSA“) seine Stellungnahme 5/2023 zum Entwurf des Angemessenheitsbeschlusses der Kommission basierend auf dem DPF (zu finden unter EDPB welcomes improvements under the EU-U.S. Data Privacy Framework, but concerns remain | European Data Protection Board (europa.eu)). Das DPF soll das durch die Entscheidung „Schrems II“ des EuGH (C-311/18) für unwirksam erklärte US Privacy Shield ersetzen und den Datentransfer aus Europa in die USA erleichtern. Die Meinungen des Parlaments und des EDSA gehen allerdings in der Frage über das Schutzniveau des DPF auseinander.

The debate on transatlantic data transfers, a possible adequacy decision for the US and the EU-US Data Privacy Framework (“DPF”) is gaining new momentum. On 14 February 2023, the European Parliament’s Committee on Civil Liberties, Justice and Home Affairs published its draft motion for a resolution regarding the adequacy of the protection of personal data under the DPF (to be found under RD_Statements (europa.eu)). Two weeks later, on 28 February 2023, the European Data Protection Committee (“EDPB”) published its Opinion 5/2023 on the Commission’s draft adequacy decision based on the DPF (to be found under EDPB welcomes improvements under the EU-U.S. Data Privacy Framework, but concerns remain | European Data Protection Board (europa.eu)). The DPF is intended to replace the U.S. Privacy Shield, which was declared invalid by the ECJ’s “Schrems II” decision (C-311/18), and to facilitate data transfers from Europe to the United States. However, the opinions of the Parliament and the EDPB differ on the question of the adequate level of data protection of the DPF.

Entschließungsantrag des Europäischen Parlaments

In seinem Entschließungsantrag fordert das Parlament die Kommission auf, die Verhandlungen mit den USA hinsichtlich des DPF fortzusetzen, um einen äquivalentes Schutzniveau für personenbezogene Daten in der EU und den USA herzustellen. Das Parlament gelangt in seinen Erwägungsgründen für diesen Antrag zu dem Schluss, dass es das DPF nicht vermag, die tatsächliche Äquivalenz der Datenschutzniveaus herzustellen.

Unter Referenz auf die Historie der bisherigen Bemühungen, den Transfer personenbezogener Daten in die USA zu ermöglichen, die Gesetzgebung sowie die Rechtsprechung des EuGH betont das Parlament die grundsätzliche Bedeutung des Transfers personenbezogener Daten, insbesondere aus wirtschaftlichen und innovativen Gesichtspunkten. Gleichzeitig warnt das Parlament vor einer weitreichenden Einschränkung von Grundrechten der betroffenen Personen.

Der geltenden Rechtslage in den USA im Hinblick auf den Schutz personenbezogener Daten steht das Parlament kritisch gegenüber. Das liegt nicht nur an dem Umstand, dass die USA auf Bundesebene kein einheitliches Datenschutzgesetz vorhalten oder grundsätzlich Datenschutzprinzipien anders verstehen als der europäische Gesetzgeber. Zwar begrüßt das Parlament die Bemühungen der USA um eine Anpassung des Datenschutzregimes in den USA in Form der Executive Order 14086 („EO“), kritisiert gleichzeitig aber, dass die EO unklar, unpräzise und unvorhersehbar sei, da sie jederzeit vom US-Präsidenten abgeändert werden könne. Auch den neuen Rechtsschutzmöglichkeiten betroffener Personen steht das Parlament skeptisch gegenüber.

Auch wenn das Parlament an dieser Stelle substantielle Kritik anbringt, handelt es sich bei einem solchen Entschließungsantrag zunächst um die Vorbereitung einer Entschließung, die ihrerseits rechtlich nicht verbindlich ist (vgl. Art. 288 UAbs. 5 AEUV). Die Wirkung einer solchen Entschließung bleibt auf die potentielle Einflussnahme der Gestaltung von EU-Gesetzgebung beschränkt.

EDSA-Stellungnahme 5/2023

Auf Ersuchen der Kommission hat der EDSA in der Stellungnahme die Angemessenheit des Datenschutzniveaus in den USA auf der Basis des DPF beurteilt. Dieser Stellungnahme kommt zwar keine rechtlich bindende Wirkung zu, sie stellt aber eine Verfahrensvoraussetzung für die Entscheidungsfindung der Kommission dar, da der EDSA auf Ersuchen der Kommission in den Entscheidungsprozess eingebunden ist.

Insgesamt ist der EDSA der Auffassung, dass die EO, die einen Teil des DPF bildet, wesentliche Verbesserung im Vergleich zum US Privacy Shield mit sich bringt. Dies betrifft insbesondere die Einführung der Grundsätze der Erforderlichkeit und Angemessenheit sowie die Auflistung spezifischer Zwecke für die eine Datenverarbeitung erfolgen darf. Außerdem lobt der EDSA den neuen individuellen Rechtsbehelf für betroffene Personen aus der EU im Fall einer Datenverarbeitung, die gegen die Vorschriften des EU-US Data Privacy Frameworks verstößt.

Im Gegenzug hat der EDSA jedoch auch weiterhin Bedenken, die zunächst adressiert werden sollten, um weitere Klarheit zu schaffen und einem möglichen Angemessenheitsbeschluss ein solides Fundament zugrunde zu legen. Diese Bedenken beziehen sich insbesondere auf die Rechte der betroffenen Personen (z. B. einige Ausnahmen vom Auskunftsrecht und die Fristen und Modalitäten für das Widerspruchsrecht), das Fehlen von Schlüsseldefinitionen, die mangelnde Klarheit in Bezug auf die Anwendung des DPF auf Auftragsverarbeiter und die weit gefasste Ausnahme für öffentlich zugängliche Informationen.

Ausblick:

Zusammenfassend stehen die Chancen für einen Angemessenheitsbeschluss der Kommission basierend auf dem DPF unseres Erachtens gut. Der eine Entschließung des Parlaments vorbereitende Antrag vom 14.2.2023 steht dem mangels rechtlicher Bindungswirkung nicht entgegen. Der rechtlich ebenfalls nicht bindenden Stellungnahme des EDSA kommt in der Debatte allerdings gewichtigere Bedeutung insofern zu, als dass die Stellungnahme von der Kommission beauftragt wurde und zu erwarten ist, dass sie die weiteren Schritte auf dem Weg zu einem Angemessenheitsbeschluss maßgeblich beeinflussen wird. Der EDSA sieht wesentliche Verbesserung im Vergleich zu Vorgängerregelungen und erwartet gerade nicht, dass das DPF eine exakte Nachbildung des europäischen Datenschutzrechts darstellen muss. Die verbleibenden Bedenken können durch die weitere Schaffung von Transparenz ausgeräumt werden. Der Stellungnahme des EDSA schließen sich bereits die ersten deutschen Datenschutzaufsichtsbehörden an und deklarieren den nun zu erwartenden Angemessenheitsbeschluss grundsätzlich als Erfolg für den Datenschutz (so etwa der Hamburgische Beauftrage für Datenschutz und Informationsfreiheit: Bewertung des Angemessenheitsbeschlusses für die USA. Thomas Fuchs: „Die Wahrheit ist auf dem Platz“ (datenschutz-hamburg.de)). Der Ball liegt nun bei der Kommission, die Bedenken des EDSA zu prüfen und ggf. direkt an die USA zu adressieren. Was dies für die Verabschiedung eines möglichen Angemessenheitsbeschlusses in zeitlicher Hinsicht bedeutet, bleibt abzuwarten. Allerdings wird deutlich, dass sich die Kommission proaktiv mit diesem Thema auseinandersetzt.

Linkedin-in Twitter Facebook-f Instagram Youtube Weixin

© 2019 DLA Piper. DLA Piper is a global law firm operating through various separate and distinct legal entities. For further information about these entities and DLA Piper's structure, please refer to the Legal Notices page. All rights reserved. Attorney advertising.