Sie sind hier: Home » Recht » EU & Europa » Europäische Kommission

Fragen und Antworten: Datenschutzrahmen EU-USA


Den vom Gerichtshof der Europäischen Union in seinem Schrems-II-Urteil vom Juli 2020 aufgezeigten Aspekten Rechnung tragen
Der Angemessenheitsbeschluss zum Datenschutzrahmen EU-USA gilt für Datenübermittlungen von öffentlichen und privaten Einrichtungen im EWR an US-Unternehmen, die am Datenschutzrahmen EU-USA teilnehmen




Die Europäische Kommission ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. Darin wird der Schluss gezogen, dass die USA ein angemessenes Schutzniveau –verglichen mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die aus der EU an die am Datenschutzrahmen EU-USA teilnehmenden US-Unternehmen übermittelt werden.

Der Angemessenheitsbeschluss folgt auf die Unterzeichnung eines einschlägigen Dekrets ("Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities") durch die USA, mit dem neue verbindliche Garantien eingeführt wurden, um den vom Gerichtshof der Europäischen Union in seinem Schrems-II-Urteil vom Juli 2020 aufgezeigten Aspekten Rechnung zu tragen. Die neuen Verpflichtungen sollen insbesondere sicherstellen, dass die US-Nachrichtendienste nur auf Daten zugreifen können, soweit dies notwendig und verhältnismäßig ist. Ferner soll ein unabhängiges und unparteiisches Rechtsbehelfsverfahren geschaffen werden, in dem Beschwerden von europäischen Bürgerinnen und Bürgern über die Erhebung ihrer Daten zu Zwecken der nationalen Sicherheit bearbeitet und beigelegt werden.

1. Was ist ein Angemessenheitsbeschluss?
Der Angemessenheitsbeschluss gehört zu den in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen Instrumenten für die Übermittlung personenbezogener Daten aus der EU in Drittländer, die – der Bewertung der Kommission zufolge – für personenbezogene Daten ein vergleichbares Schutzniveau garantieren wie die Europäische Union.

Basierend auf solchen Angemessenheitsbeschlüssen können personenbezogene Daten ungehindert und sicher aus dem Europäischen Wirtschaftsraum (EWR), d. h. aus den 27 EU-Mitgliedstaaten sowie Norwegen, Island und Liechtenstein, in das betreffende Drittland fließen, ohne dass weitere Bedingungen oder Genehmigungen erforderlich wären. Damit können Daten in das Drittland also in gleicher Weise übermittelt werden wie innerhalb der EU.

Der Angemessenheitsbeschluss zum Datenschutzrahmen EU-USA gilt für Datenübermittlungen von öffentlichen und privaten Einrichtungen im EWR an US-Unternehmen, die am Datenschutzrahmen EU-USA teilnehmen.

2. Nach welchen Kriterien wird die Angemessenheit beurteilt?
Um als angemessen gelten zu können, braucht das Datenschutzsystem des Drittlands nicht mit dem der EU identisch zu sein. Erforderlich ist ein "der Sache nach gleichwertiges" Schutzniveau. Hierzu wird der Datenschutzrahmen eines Landes sowohl im Hinblick auf den Schutz personenbezogener Daten als auch auf die verfügbaren Aufsichtsmechanismen und Rechtsbehelfsverfahren umfassend bewertet.

Die europäischen Datenschutzbehörden haben eine Liste der Elemente erstellt, die bei dieser Bewertung zu berücksichtigen sind. So müssen beispielsweise zentrale Datenschutzgrundsätze, individuelle Rechte, eine unabhängige Aufsicht und wirksame Rechtsbehelfe garantiert sein.

3. Was ist der Datenschutzrahmen EU-USA?
In ihrem Angemessenheitsbeschluss hat die Kommission eingehend die Anforderungen geprüft, die sich aus dem Datenschutzrahmen EU-USA ergeben. Geprüft wurden ferner die Beschränkungen und Garantien in Bezug auf den Zugang von US-Behörden zu in die USA übermittelten personenbezogenen Daten, insbesondere für Datenzugriffe zum Zwecke der Strafverfolgung und der nationalen Sicherheit.

Auf dieser Grundlage wird in dem Angemessenheitsbeschluss der Schluss gezogen, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an die am Datenschutzrahmen EU-USA teilnehmenden Unternehmen übermittelt werden. Infolge der Annahme des Angemessenheitsbeschlusses können europäische Unternehmen personenbezogene Daten an teilnehmende Unternehmen in den Vereinigten Staaten übermitteln, ohne zusätzliche Datenschutzgarantien einführen zu müssen.

Der Rahmen sieht für die von den Datenübermittlungen an teilnehmende Unternehmen in den USA betroffenen EU-Bürgerinnen und ‑Bürger mehrere neue Rechte vor (z. B. das Recht auf Zugang zu ihren Daten bzw. auf Berichtigung oder Löschung unrichtiger oder unrechtmäßig verarbeiteter Daten). Ihnen stehen darüber hinaus verschiedene Rechtsbehelfe offen, falls ihre Daten nicht ordnungsgemäß behandelt werden. Dazu gehören unentgeltliche unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle.

US-Unternehmen können ihre Teilnahme am Datenschutzrahmen EU-USA im Rahmen einer Zertifizierung bescheinigen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten. Dies kann beispielsweise Datenschutzgrundsätze wie Zweckbindung, Datenminimierung und Speicherbegrenzung sowie spezifische Verpflichtungen in Bezug auf die Datensicherheit und die Weitergabe von Daten an Dritte umfassen.

Der Rahmen wird vom US-Handelsministerium verwaltet, das Zertifizierungsanträge bearbeitet und überwacht, ob die teilnehmenden Unternehmen weiterhin die Zertifizierungsanforderungen erfüllen. Die US-amerikanische Federal Trade Commission wird die Einhaltung der Verpflichtungen aus dem Datenschutzrahmen EU-USA durch US-amerikanische Unternehmen durchsetzen.

4. Welche Beschränkungen und Garantien bestehen in Bezug auf den Zugang der US-Nachrichtendienste zu den Daten?
Ein wesentliches Element des US-Rechtsrahmens, auf den sich der Angemessenheitsbeschluss stützt, ist das von Präsident Biden am 7. Oktober unterzeichnete einschlägige Dekret ("Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities"), das durch Verordnungen des US-Generalstaatsanwalts ergänzt wurde. Diese Instrumente wurden angenommen, um den vom Gerichtshof in seinem Schrems-II-Urteil aufgezeigten Aspekten Rechnung zu tragen.

Für Europäerinnen und Europäer, deren personenbezogene Daten in die USA übermittelt werden, sieht das Dekret Folgendes vor:

>> verbindliche Garantien, die den Zugang der US-Nachrichtendienste zu den Daten auf das zum Schutz der nationalen Sicherheit erforderliche und verhältnismäßige Maß beschränken,
>> eine verstärkte Aufsicht über die Tätigkeiten der US-Nachrichtendienste, um sicherzustellen, dass die für Überwachungstätigkeiten geltenden Beschränkungen eingehalten werden, und
>> die Einrichtung eines unabhängigen und unparteiischen Rechtsbehelfsverfahrens, das auch ein neues Gericht zur Datenschutzüberprüfung umfasst, welches Beschwerden über den Zugang zu Daten durch nationale Sicherheitsbehörden der USA untersucht und beilegt.

5. Wie sieht das neue Rechtsbehelfsverfahren im Bereich der nationalen Sicherheit aus, und wie können Einzelpersonen es in Anspruch nehmen?
Die US-Regierung hat ein neues zweistufiges Rechtsbehelfsverfahren mit unabhängigen und verbindlichen Befugnissen eingerichtet, mit dem Beschwerden von Einzelpersonen, deren Daten aus dem EWR an Unternehmen in den USA übermittelt wurden, über die Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste bearbeitet und beigelegt werden sollen.

Für die Zulässigkeit einer Beschwerde müssen Einzelpersonen nicht nachweisen, dass ihre Daten tatsächlich von US-Nachrichtendiensten erhoben wurden. Sie können eine Beschwerde bei ihrer nationalen Datenschutzbehörde einreichen, die dafür sorgt, dass die Beschwerde ordnungsgemäß übermittelt wird und die Person alle weiteren Informationen über das Verfahren – auch über das Ergebnis – erhält. Das bedeutet, dass sich Einzelpersonen in ihrer eigenen Sprache an eine wohnortnahe Behörde wenden können. Die Beschwerden werden vom Europäischen Datenschutzausschuss an die USA weitergeleitet.

Zunächst werden die Beschwerden vom sogenannten Civil Liberties Protection Officer, dem Bürgerrechtsbeauftragten der US-Nachrichtendienste, geprüft. Dieser ist dafür verantwortlich, dass die US-Nachrichtendienste die Privatsphäre und die Grundrechte achten.

Daraufhin haben die Einzelpersonen die Möglichkeit, die Entscheidung des Bürgerrechtsbeauftragten vor dem neu eingerichteten Gericht zur Datenschutzüberprüfung anzufechten. Das Gericht setzt sich aus Personen zusammen, die nicht der US-Regierung angehören, aufgrund bestimmter Qualifikationen ernannt werden, nur in begründeten Fällen entlassen werden können (z. B. infolge einer strafrechtlichen Verurteilung oder wenn sie als geistig oder körperlich nicht für die Erfüllung ihrer Aufgaben geeignet befunden werden) und keine Weisungen von der Regierung entgegennehmen. Das Gericht ist befugt, Beschwerden von Einzelpersonen aus der EU zu untersuchen, wofür es auch einschlägige Informationen bei Nachrichtendiensten einholen kann, und verbindliche Beschlüsse über Abhilfemaßnahmen zu fassen. Stellt das Gericht beispielsweise fest, dass bei der Datenerhebung gegen die im Dekret vorgesehenen Garantien verstoßen wurde, kann es die Löschung der Daten anordnen.

Für jeden Fall wählt das Gericht einen speziellen Anwalt mit einschlägiger Erfahrung aus, der es unterstützt, indem er dafür sorgt, dass die Interessen des Beschwerdeführers vertreten werden und das Gericht über die tatsächlichen und rechtlichen Umstände des Falles gut informiert ist. Dadurch wird sichergestellt, dass beide Seiten vertreten sind, und es werden wichtige Garantien in Bezug auf ein faires und ordnungsgemäßes Verfahren eingeführt.

Sobald der Datenschutzbeauftragte oder das Gericht für die Datenschutzüberprüfung die Untersuchung abgeschlossen hat, wird dem Beschwerdeführer mitgeteilt, dass entweder kein Verstoß gegen US-amerikanisches Recht festgestellt wurde oder dass ein Verstoß festgestellt und abgestellt wurde. Zu einem späteren Zeitpunkt wird der Beschwerdeführer gegebenenfalls auch in Kenntnis gesetzt, wenn Informationen über das Verfahren vor dem Gericht für die Datenschutzüberprüfung – wie der begründete Beschluss des Gerichts – nicht mehr den Vertraulichkeitsanforderungen unterliegen und eingeholt werden können.

6. Ab wann gilt der Beschluss?
Der Angemessenheitsbeschluss trat mit seiner Annahme am 10. Juli in Kraft.

Der Beschluss ist nicht befristet, aber die Kommission wird die relevanten Entwicklungen in den USA fortlaufend beobachten und den Angemessenheitsbeschluss regelmäßig überprüfen.

Die erste Überprüfung erfolgt binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses; dabei soll ermittelt werden, ob alle relevanten Elemente des US-Rechtsrahmens in der Praxis wirksam funktionieren. Anschließend wird die Kommission in Abhängigkeit vom Ergebnis dieser ersten Überprüfung in Absprache mit den EU-Mitgliedstaaten und den Datenschutzbehörden entscheiden, in welchem Rhythmus die künftigen Überprüfungen, die mindestens alle vier Jahre stattfinden werden, vorgenommen werden sollen.

Sollten Entwicklungen eintreten, die das Schutzniveau im betreffenden Drittland beeinträchtigen, können Angemessenheitsbeschlüsse angepasst oder auch ganz zurückgenommen werden.

7. Wie wirkt sich der Beschluss auf die Möglichkeit aus, andere Instrumente für die Datenübermittlung in die USA zu nutzen?
Alle von der US-Regierung im Bereich der nationalen Sicherheit eingeführten Garantien (einschließlich des Rechtsbehelfsverfahrens) gelten unabhängig von den verwendeten Übermittlungsmechanismen für alle Datenübermittlungen im Rahmen der DSGVO an Unternehmen in den USA. Diese Garantien erleichtern daher auch den Einsatz anderer Instrumente wie Standardvertragsklauseln und verbindlicher unternehmensinterner Vorschriften. (EU-Kommission: ra)

eingetragen: 30.07.23
Newsletterlauf: 31.08.23


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Europäische Kommission

  • Rahmen für grüne NGEU-Anleihen

    Mehr als drei Jahre nach der ersten Transaktion mit unseren grünen Anleihen im Rahmen von NextGenerationEU (NGEU) hat die EU grüne NGEU-Anleihen im Wert von insgesamt mehr als 65 Mrd. EUR ausgegeben und ist damit auf dem besten Weg, zum weltweit größten Emittenten grüner Anleihen zu werden.

  • Maßnahmen des CPC-Netzes gegen Apple

    Im Anschluss an eine koordinierte Untersuchung auf europäischer Ebene haben das Netz für die Zusammenarbeit im Verbraucherschutz (CPC-Netz) und die Europäische Kommission Apple über mehrere potenziell verbotene Geoblocking-Praktiken unterrichtet, die das CPC-Netz bei bestimmten Apple Media Services festgestellt hat, nämlich den Mediendiensten App Store, Apple Arcade, Music, iTunes Store, Books und Podcasts.

  • Verwaltungskosten für Unternehmen senken

    Die Europäische Kommission hat vorgeschlagen, ein einheitliches digitales Meldeportal für Unternehmen einzurichten, die Dienstleistungen erbringen und Arbeitnehmer vorübergehend in einen anderen Mitgliedstaat entsenden, das als "entsandte Arbeitnehmer" bezeichnet wird.

  • Diskriminierende steuerliche Behandlung

    Die Europäische Kommission hat entschieden, Deutschland vor dem Gerichtshof der Europäischen Union zu verklagen, weil das Land es versäumt hat, eine Einschränkung des freien Kapitalverkehrs (Artikel 63 AEUV und Artikel 40 des EWR-Abkommens) zu beseitigen, die durch die diskriminierende steuerliche Behandlung von reinvestierten Veräußerungsgewinnen aus dem Verkauf von in Deutschland gelegenen Immobilien bedingt war.

  • Wettbewerbswidrige Verhaltensweisen von Facebook

    Die Europäische Kommission hat eine Geldbuße in Höhe von 797,72 Mio. EUR gegen Meta verhängt, weil das Unternehmen gegen die EU-Kartellvorschriften verstößt, indem es seinen Online-Kleinanzeigendienst Facebook Marketplace mit seinem persönlichen sozialen Netzwerk Facebook verknüpft und anderen Anbietern von Online-Kleinanzeigendiensten unfaire Handelsbedingungen auferlegt hat.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen