Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments hat ein klares Stoppschild an die EU-Kommission beim vorgesehenen EU-USA-Datenschutzrahmen gesendet. Die Ausschussmehrheit fordert die EU-Kommission zur Ablehnung des Angemessenheitsbeschlusses auf. Dabei sollten mit ihm endlich die Datenströme zwischen EU und USA einfacher und dennoch datenschutzgerecht fließen. „Die Unsicherheit für Unternehmen mit Datenaustausch oder Datenverarbeitung in den USA bleibt. Der Angemessenheitsbeschluss war von den Entscheidungsträgern eigentlich als wertvolle Entwicklung zu einer Vereinfachung beschrieben worden“, erklärt UIMC-Geschäftsführer Dr. Jörn Voßbein zu der möglicherweise folgenreichen Entscheidung des EU-Ausschusses. Wie geht es nun weiter und was bedeutet das für Unternehmen mit Datenverarbeitung in den USA?
Was verbirgt sich hinter dem Angemessenheitsbeschluss? Sofern personenbezogene Daten in ein Nicht-EU- oder Nicht-EWR-Land transferiert werden soll, bedarf es eines der EU adäquaten Schutzniveaus. Hierzu kann beispielsweise die EU-Kommission einen Beschluss fassen, dass im Zielland grundsätzlich ein solches Schutzniveau vorliegt. Zur Zeit existieren für 14 Staaten solche Angemessenheitsbeschlüsse, wie z. B. für die Schweiz oder UK. Ein Datentransfer ist so zu behandeln, wie ein Datentransfer innerhalb der EU.
Was sollte erreicht werden? Mit dem Verfahren zur Annahme eines Angemessenheitsbeschlusses auf Basis des EU-USA-Datenschutzrahmens wollte die EU-Kommission transatlantische Datenströme fördern und erleichtern. Hintergrund dieser politischen Initiative ist es, dass immer mehr Geschäftsmodelle den internationalen Datentransfer erfordern. Speziell für personenbezogene Daten stellen die EU-Aufsichtsbehörden aber zurecht hohe Anforderungen. Die USA zählen als Drittstaat ohne angemessenes Schutzniveau, da beispielsweise die US-Geheimdienste über weitreichende rechtliche Möglichkeiten verfügen, auf Daten zuzugreifen. Auch die vom Datenschutzaktivisten Max Schrems erstrittenen Urteile des Europäischen Gerichtshofs kritisierte die Befugnisse der US-Geheimdienste und den unzureichenden Rechtsschutz für EU-Bürger.
Was ist nun geschehen? Mit der Initiative des Angemessenheitsbeschlusses sollte dieser Rechtsschutz gestärkt und Garantien für transatlantische Datenübermittlung von europäischen Unternehmen festgezurrt werden. Nun hat die ablehnende Ausschussentscheidung diese Bemühungen gestoppt.
Warum wurde die Initiative gestoppt? Die EU-Ausschussmitglieder heben in ihrer Ablehnungs-Argumentation des Angemessenheitsbeschlusses drei Aspekte besonders hervor:
Was bedeutet das für Unternehmen? Sie sollten weiterhin auf Standardvertragsklauseln setzen, um datenschutzrechtlich auf sicherem Grund zu stehen. „Ansonsten riskieren diese Unternehmen eine empfindliche Geldbuße. Stattdessen sollten Standardvertragsklauseln von Profis anpgepasst werden“, empfiehlt Dr. Jörn Voßbein den Entscheidungsträgern pragmatische Wege beim Datenschutz.
Was verbirgt sich hinter dem Angemessenheitsbeschluss? Sofern personenbezogene Daten in ein Nicht-EU- oder Nicht-EWR-Land transferiert werden soll, bedarf es eines der EU adäquaten Schutzniveaus. Hierzu kann beispielsweise die EU-Kommission einen Beschluss fassen, dass im Zielland grundsätzlich ein solches Schutzniveau vorliegt. Zur Zeit existieren für 14 Staaten solche Angemessenheitsbeschlüsse, wie z. B. für die Schweiz oder UK. Ein Datentransfer ist so zu behandeln, wie ein Datentransfer innerhalb der EU.
Was sollte erreicht werden? Mit dem Verfahren zur Annahme eines Angemessenheitsbeschlusses auf Basis des EU-USA-Datenschutzrahmens wollte die EU-Kommission transatlantische Datenströme fördern und erleichtern. Hintergrund dieser politischen Initiative ist es, dass immer mehr Geschäftsmodelle den internationalen Datentransfer erfordern. Speziell für personenbezogene Daten stellen die EU-Aufsichtsbehörden aber zurecht hohe Anforderungen. Die USA zählen als Drittstaat ohne angemessenes Schutzniveau, da beispielsweise die US-Geheimdienste über weitreichende rechtliche Möglichkeiten verfügen, auf Daten zuzugreifen. Auch die vom Datenschutzaktivisten Max Schrems erstrittenen Urteile des Europäischen Gerichtshofs kritisierte die Befugnisse der US-Geheimdienste und den unzureichenden Rechtsschutz für EU-Bürger.
Was ist nun geschehen? Mit der Initiative des Angemessenheitsbeschlusses sollte dieser Rechtsschutz gestärkt und Garantien für transatlantische Datenübermittlung von europäischen Unternehmen festgezurrt werden. Nun hat die ablehnende Ausschussentscheidung diese Bemühungen gestoppt.
Warum wurde die Initiative gestoppt? Die EU-Ausschussmitglieder heben in ihrer Ablehnungs-Argumentation des Angemessenheitsbeschlusses drei Aspekte besonders hervor:
- Der EU-USA-Datenschutzrahmen biete keine tatsächliche Gleichwertigkeit des Datenschutzniveaus der USA zur EU.
- Die juristische Instanz für die Überprüfung des Datenschutzes sei nicht transparent, unabhängig oder unparteiisch. Entscheidungen müssen nicht veröffentlicht oder den Beschwerdeführern zugänglich gemacht werden.
- Die Definitionen von „Verhältnismäßigkeit“ und „Notwendigkeit“ in der vom US-Präsident Joe Biden unterzeichneten Executive Order stimmten nicht mit ihrer Bedeutung und Auslegung in der EU überein.
Was bedeutet das für Unternehmen? Sie sollten weiterhin auf Standardvertragsklauseln setzen, um datenschutzrechtlich auf sicherem Grund zu stehen. „Ansonsten riskieren diese Unternehmen eine empfindliche Geldbuße. Stattdessen sollten Standardvertragsklauseln von Profis anpgepasst werden“, empfiehlt Dr. Jörn Voßbein den Entscheidungsträgern pragmatische Wege beim Datenschutz.
