In einer Pressemitteilung vom 10.07.2023 teilte die Europäische Kommission mit, dass ein neuer Angemessenheitsbeschluss für den transatlantischen Datenschutzrahmen EU-USA angenommen wurde. Dies stellt den dritten Versuch dar, die USA als sicheres Drittland für die Datenübertragung von EU-Bürger*innen einzustufen. Der frühere Beschluss, basierend auf dem Privacy Shield, wurde 2020 durch das Schrems II-Urteil des EuGH für ungültig erklärt. Der aktuelle Rahmen basiert unter anderem auf der US-amerikanischen Executive Order von Oktober 2022, die bestimmte Selbstverpflichtungen der USA festlegt.
Der transatlantische Datenschutzrahmen entstand als Reaktion auf die Nichtigkeit des EU-US Privacy Shields durch den EuGH im Juli 2020. Obwohl der EuGH den Privacy Shield kippte, betonte er, dass Standardvertragsklauseln (SCC) weiterhin gültig sind.
Die Europäische Kommission aktualisierte daraufhin die SCC im Juni 2021 und fügte neue Verpflichtungen hinzu. Der neueste transatlantische Datenschutzrahmen soll Unternehmen Erleichterungen bieten, während die Anforderungen für Datenübertragungen in andere Länder, wie z.B. China, unverändert bleiben.
Zweck dieses neuen Rahmens ist es, Datenübertragungen zwischen der EU und den USA zu erleichtern. Dafür wurden Maßnahmen eingeführt, wie eine Einschränkung des Datenzugriffs durch US-Geheimdienste und ein neuer zweistufiger Rechtsbehelfsmechanismus.
Max Schrems, der bereits die beiden Vorläufer vor dem EuGH zu Fall gebracht hatte und seine NGO NOYB, haben Bedenken geäußert. Sie sind besorgt, dass die Interpretation von “Verhältnismäßigkeit” durch den EuGH und die USA abweichen könnte und der neue Rechtsbehelfsmechanismus sowie die Executive Order keinen ausreichenden Schutz bieten. Sie sind der Ansicht, die Übereinkunft basiere auf „kurzfristigem politischem Denken“ und haben bereits angekündigt, den Beschluss erneut vor dem EuGH anzufechten (Quelle: heise online).
Auch RA Wilfriends Reiner von der PRW Legal Group kritisiert den Angemessenheitsbeschluss: Das Data Privacy Framework selbst sei „kein genereller Freischein für die Übertragung personenbezogener Daten in die USA“, da es sich nur um ein politisches Instrument handele. „Anders als von der Europäischen Kommission vorgetragen, ändert sich am US-Recht insgesamt zu wenig“, mahnt Reiners und warnt: „Ohne weitere Schutzmaßnahmen oder in risikobehafteten Bereichen ohne das Instrument der Datenschutzfolgeabschätzung (DSFA) gem. Art. 35 DSGVO bleibt die Übertragung personenbezogener Daten in die USA trotzdem bedenklich. Zudem ist zu beachten, dass bereits Klagen zur Aufhebung dieses dritten Angemessenheitsbeschlusses angekündigt sind. Wer einen sicheren Weg gehen will, folgt den Empfehlungen der Aufsichtsbehörden und stellt seine Microsoft-365-Umgebung datenschutzkonform ein.“
Wir sind für Sie da.
Sie möchten Ihre Microsoft-Umgebung DSGVO-konform einsetzen und sich gegen Sanktionen absichern?
DANIEL WINTERMEIER | Principal Consultant
