Worum geht es?
Die DSGVO ermöglicht die Übermittlung von personenbezogenen Daten in Länder außerhalb der EU / des EWR – sogenannte Drittländer – nur, wenn besondere Bedingungen erfüllt sind. Am einfachsten ist eine solche Übermittlung, wenn für das betroffene Drittland ein Angemessenheitsbeschluss der EU-Kommission vorliegt. Mit einem solchen Angemessenheitsbeschluss wird dem betreffenden Land oder einem Gebiet oder einem oder mehreren spezifischen Sektoren in diesem Land ein angemessenes Datenschutzniveau bescheinigt.
Für die USA liegt ein solcher Angemessenheitsbeschluss zurzeit nicht vor. Die vormals existierenden Angemessenheitsbeschlüsse für die Datenübermittlung in die USA sind jeweils durch die sogenannten Schrems I und Schrems II Entscheidungen des EuGHs gekippt worden.
Vergangenes Jahr einigten sich die EU-Kommission und die USA auf neue Regelungen zum Datentransfer in die USA, die sich insbesondere auf eine von Präsident Biden erlassene Executive Order, die sogenannte EO 14086, stützen, welche den Bedenken des EuGHs Rechnung tragen soll.
Basierend hierauf hat die EU-Kommission im Dezember 2022 den Entwurf eines Angemessenheitsbeschlusses für die USA vorgelegt. Geplant war es, diesen Angemessenheitsbeschluss nach Prüfung durch die entsprechenden Gremien im Sommer / Herbst 2023 zu erlassen.
Beschluss des EU-Parlaments vom 11. Mai 2022
Nun hat das EU-Parlament mit Beschluss vom 11. Mai 2022 erhebliche Bedenken geäußert, ob durch die EO 14086 die Kritikpunkte des EuGHs tatsächlich ausgeräumt sind. So kritisiert das EU-Parlament in diesem Beschluss zum Beispiel, dass
- die Grundsätze der Verhältnismäßigkeit und Erforderlichkeit, die Schlüsselelemente des EU Datenschutzregimes sind, zwar in der EO 14086 genannt werden, aber die dort enthaltenen Definitionen nicht in Einklang mit den Definitionen unter EU Recht und der Auslegung durch den EuGH stehen;
- diese Grundsätze durch die EO 14086 ausschließlich nach dem Recht und den Rechtstraditionen der USA ausgelegt werden;
- die nach der EO 14086 zulässigen legitimen nationalen Sicherheitsziele der USA zum Einsatz von nachrichtendienstlichen Tätigkeiten vom US-Präsidenten geändert und erweitert werden können, ohne dass eine Verpflichtung besteht, die entsprechenden Aktualisierungen zu veröffentlichen oder die EU zu informieren;
- die EO 14086 nach wie vor die Massensammlung von Daten einschließlich des Inhalts von Kommunikation in bestimmten Fällen zulässt und es, auch wenn die EO 14086 insoweit gewisse Einschränkungen vorsieht, keiner vorherigen unabhängigen Genehmigung einer solchen Massensammlung bedarf;
- die EO 14086 keine Anwendung findet auf den Zugriff auf Daten durch andere Rechtsinstrumente der USA, wie z.B. den CLOUD Act oder den Patriot Act;
- EU-Bürgern nicht die gleichen Rechte zugestanden werden, die US-Bürger in Bezug auf sie betreffende Aktivitäten von US-Geheimdiensten haben;
- die Entscheidungen des nach der EO 14086 einzurichtenden Data Protection Review Courts nicht öffentlich und nicht reversibel sind und die für den Kläger auftretenden Anwälte vom Data Protection Review Courts ernannt werden und somit nicht unabhängig sind;
- die USA anders als alle anderen Drittstaaten, für die ein Angemessenheitsbeschluss vorliegt, kein einheitliches für alle Bundesstaaten geltendes Datenschutzgesetz haben; und
- die EO 14086 nicht klar, präzise und vorhersehbar in ihrer Anwendung sei, da sie jederzeit vom Präsidenten der USA geändert werden könne.
Wie geht es weiter?
Der Beschluss des EU-Parlaments hindert die EU-Kommission nicht daran, den geplanten Angemessenheitsbeschluss zu erlassen. Sie ist nur gehalten, den Entwurf des Angemessenheitsbeschlusses unter Berücksichtigung der vorgetragenen Standpunkte des EU-Parlaments nochmals zu prüfen und das EU-Parlament darüber zu unterrichten, ob sie beabsichtigt, den Entwurf beizubehalten, abzuändern oder zurückzuziehen.
Was bedeutet das für Unternehmen?
Eine direkte Auswirkung besteht nicht. Unternehmen können weiter personenbezogene Daten in die USA übermitteln, sofern sich diese Übermittlung auf die anderen von der DSGVO dafür vorgesehenen geeigneten Garantien stützt, wie zum Beispiel eine Übermittlung anhand den von der EU-Kommission erlassenen Standardvertragsklauseln. Ein Angemessenheitsbeschluss würde die Übermittlung allerdings vereinfachen. Es bleibt nun abzuwarten, wie die EU-Kommission mit den Kritikpunkten des Parlaments umgehen wird.
