Wenn personenbezogenen Daten in ein Drittland übermittelt bzw. dort verarbeitet werden, müssen Verantwortliche bzw. Auftragsverarbeiter prüfen, ob die allgemeinen Voraussetzungen der DSGVO für eine Datenübermittlung erfüllt sind.

Seitdem der Europäische Gerichtshof (EuGH) in seinem Urteil vom 16. Juli 2020 den Beschluss der Europäischen Kommission (2016/1250) zur Übermittlung personenbezogener Daten in die USA (sog. „Privacy Shield“) für unwirksam erklärt hat, herrscht viel Unsicherheit in Bezug auf die notwendigen Schritte und Maßnahmen, die ab diesem Zeitpunkt zu treffen waren, um weiterhin eine datenschutzkonforme Übermittlung oder Verarbeitung personenbezogener Daten in die USA zu ermöglichen.

Nach Art. 45 Abs. 3 DSGVO hat die EU-Kommission die Möglichkeit, nach entsprechender Prüfung, das Bestehen eines angemessenen Schutzniveaus in einem bestimmten Drittland, – einen sogenannten Angemessenheitsbeschluss- zu beschließen. Dies hat zur Folge, dass personenbezogene Daten aus der EU in ein Drittland übermittelt werden können, ohne dass es weiterer Schutzmaßnahmen bedarf.

Nach Art. 45 Abs. 2 DSGVO besteht ein angemessenes Schutzniveau dann, wenn in dem Drittland auf Grundlage seiner innerstaatlichen Rechtsvorschriften und deren Anwendung, der Existenz und der wirksamen Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden sowie seiner eingegangenen internationalen Verpflichtungen ein Schutzniveau existiert, welches dem europäischen Datenschutzrecht vergleichbaren Schutzniveau entspricht.

Derzeit besteht ein Angemessenheitsbeschluss, d.h. ein hinreichend sicheres Datenschutzniveau, für die Länder: Andorra, Argentinien, Kanada (für privatwirtschaftliche Unternehmen), Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Republik Korea, Schweiz, Vereinigtes Königreich, Uruguay und nun auch die Vereinigten Staaten (für privatwirtschaftliche Unternehmen, die an dem EU-USA-Datenschutzrahmen teilnehmen). US-Unternehmen können ihre Teilnahme am Datenschutzrahmen EU-USA im Rahmen einer Zertifizierung bescheinigen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten.

In dem Angemessenheitsbeschluss wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für die datenschutzkonforme Übermittlung oder Verarbeitung personenbezogene Daten von EU-Bürger:innen an US-Unternehmen gewährleisten.

Damit werden neue verbindliche Garantien eingeführt, um die vom Europäischen Gerichtshof geäußerten Bedenken, wie zum einen die Beschränkung des Zugriffs von US-Nachrichtendiensten auf die personenbezogenen Daten von EU-Bürger:innen auf ein notwendiges und angemessenes Maß, und zum anderen einen wirksamen Weg für EU-Bürger:innen in den USA gegen Verstöße zu klagen, Rechnung zu tragen.

Die Europäischen Kommission und Vertreter der europäischen Datenschutzbehörden sowie die zuständigen US-Behörden sollen regelmäßig die Funktionsweise des Datenschutzrahmens EU-USA überprüfen.

Erstmalig soll eine Überprüfung ein Jahr nach dem Inkrafttreten des Angemessenheitsbeschlusses erfolgen, um feststellen zu können, ob alle einschlägigen Bestandteile vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.

Ob diese Neuregelungen allerdings vor dem Gericht standhalten können, ist fraglich. Es wird sich zeigen, ob mit dem Datenschutzrahmen EU-USA eine rechtlich belastbare Regelung getroffen wurde.

Nähere Informationen finden Sie unter https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en