Am 10. Juli 2023 hat die Europäische Union die Möglichkeit angekündigt, personenbezogene Daten in die Vereinigten Staaten zu übermitteln nach Änderung des US-Rechtsrahmens und Anpassung an die von der EU auferlegten Schutzgarantien.
Die wichtigste Änderung ist die Exekutivanordnung, die der US-Präsident im Oktober 2022 unterzeichnet hat, um die gegenüber der EU eingegangenen Verpflichtungen zum Datenschutz zu erfüllen. Diese Anordnung schränkt den Zugang der Geheimdienste zu und die Verarbeitung von personenbezogenen Daten und schafft einen Mechanismus zur Beilegung von Anfragen bezüglich einer unzulässigen Datenverarbeitung, wodurch sie in dieser Hinsicht mit den bestehenden EU-Schutzmaßnahmen in Einklang gebracht wird.
Damit personenbezogene Daten aus einem EU-Mitgliedstaat in ein Drittland übermittelt werden können, ist es notwendig, dass es in diesem Drittland ein gleichwertiges Schutzniveau wie in der EU besteht. Der EU-Gerichtshofhat allerdings in der Rechtssache C-362/14, Maximillian Schrems v Data Protection Commissioner klargestellt, dass
das Schutzniveau nicht unbedingt identisch sein muss.
Zu diesem Zweck führt der EU-USA-Datenschutzrahmen eine Reihe von Grundsätzen ein, die von den USA übernommen werden müssen, um das genannte Schutzniveau zu gewährleisten. Diese Grundsätze legen die zertifizierten Unternehmen fest, definieren die grundlegenden Begriffe personenbezogener Daten, beschränken die Verarbeitung personenbezogener Daten auf bestimmte Objekte und sehen Verpflichtungen wie die Löschung von Daten vor, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr benötigt werden.
Einrichtungen, die sich zu den Grundsätzen des Rahmens verpflichten, können unter den durch den Datenschutzrahmen eingeführten Bedingungen die einzigen Empfänger personenbezogener Daten aus der EU sein. Diese Verpflichtung wird in der sogenannte „Data Framework List“ nachgewiesen, d.h. einer öffentlichen Liste, die diejenigen Einrichtungen enthält, die sich freiwillig zur Einhaltung der Grundsätze verpflichten. Diese Liste wird ständig aktualisiert, indem neue Einrichtungen aufgenommen werden und auch diejenigen Einrichtungen, die sich für eine Deregistrierung entscheiden oder die Grundsätze nicht einhalten.
Was den Zugriff auf Daten von in der EU ansässigen Bürgern durch US-Geheimdienste betrifft, so ist dieser auf die Einhaltung der Grundsätze der Notwendigkeit und Verhältnismäßigkeit beschränkt. Für Beschwerden in diesem Bereich steht den EU-Bürgern ein Beschwerdemechanismus über die nationalen Datenschutzbehörden zur Verfügung, die über den Europäischen Datenschutzausschuss die Beschwerde an die USA weiterleiten, damit diese sie bearbeiten und entscheiden können, ob die Notwendigkeit- und Verhältnismäßigkeitsgrundsätze eingehalten wurden.
Es wird ein „Datenschutzüberprüfungsgericht“ (“DPRC”) eingerichtet, das sich aus regierungsexternen Mitgliedern zusammensetzt, die keine Weisungen erhalten und nicht ohne Grund abberufen werden dürfen, und das befugt ist, Beschwerden zu prüfen und verbindliche Entscheidungen zu treffen sowie gegebenenfalls die Löschung von Daten anzuordnen. Dieses Gericht wird angerufen, wenn der Beschwerdeführer mit der Antwort der USA auf seine Beschwerde nicht einverstanden ist.
Sollte dieses Abkommen mögliche Anfechtungen vor dem EU-Gerichtshof überstehen, wird es das lange juristische Ringen, um ein Abkommen über die lang erwartete grenzüberschreitende Übermittlung personenbezogener Daten beenden und damit eine neue Ära im Handel zwischen der EU und den USA einleiten.
Oscar Vilá
Vilá Abogados
Für weitere Informationen, wenden Sie sich bitte an:
8. September 2023
