In der heutigen Zeit ist der grenzüberschreitende Datenfluss ein entscheidender Faktor für den Erfolg vieler Unternehmen, die auf internationaler Ebene Geschäftsbeziehungen betreiben. Ein wichtiges Thema ist in diesem Zusammenhang der Angemessenheitsbeschluss, der die rechtliche Grundlage für den Austausch personenbezogener Daten zwischen der Europäischen Union und Drittstaaten schafft.
Was ist ein Angemessenheitsbeschluss?
Ein Angemessenheitsbeschluss ist eine Entscheidung der Europäischen Kommission, die feststellt, dass ein Drittstaat ein angemessenes Datenschutzniveau bietet, das dem in der EU geltenden Datenschutzrecht gleichwertig ist. Dies ermöglicht es Unternehmen, personenbezogene Daten mit zertifizierten Unternehmen oder Organisationen auszutauschen. Ein solcher Beschluss beruht auf einer eingehenden Prüfung der Datenschutzbestimmungen und -praktiken des Drittstaats.
Der Datenschutz in den USA und die Herausforderungen
Die USA haben ein anderes Datenschutzsystem als die EU. Während die EU die Datenschutzgrundverordnung als gesetzliche Grundlage mit strengen Regularien eingeführt hat, beruht der Datenschutz in den USA eher auf einer sektoralen Regulierung, die je nach Bundesstaat und Branche variiert.
Vor allem die Massenüberwachung durch die Strafverfolgungsbehörden wie die National Security Agency (NSA) hat in der Vergangenheit zu Bedenken hinsichtlich des Datenschutzes und der Privatsphäre geführt. Dies war ein grundlegender Faktor dafür, dass der transatlantische Datentransfer auf eine solide rechtliche Grundlage gestellt werden musste, um das Datenschutzniveau der EU-Bürgerinnen und -Bürger zu gewährleisten.
Das Privacy Shield-Abkommen
In der Vergangenheit diente das sogenannte „Safe Harbor-Abkommen“ als Rechtsgrundlage für den transatlantischen Datenaustausch zwischen der EU und den USA. Allerdings erklärte der Europäische Gerichtshof 2015 dieses Abkommen für ungültig, da es die Daten der EU-Bürgerinnen und -Bürger nicht ausreichend schützte.
Daraufhin wurde 2016 das „EU-US Privacy Shield-Abkommen“ eingeführt, das neue Datenschutzbestimmungen und Mechanismen zur Überprüfung der Datenverarbeitung in den USA vorsah. Allerdings wurde auch dieses Abkommen 2020 vom Europäischen Gerichtshof gekippt, da es weiterhin Bedenken hinsichtlich der massenhaften Überwachung durch die US-Behörden gab und der Datenschutz nicht ausreichend gewährleistet war.
Inkrafttreten des EU-U.S. Data Privacy Framework am 10. Juli 2023
Nach dem Wegfall des Privacy Shield-Abkommens waren Unternehmen, die personenbezogene Daten zwischen der EU und den USA übertragen wollten, auf andere Rechtsmechanismen wie Standardvertragsklauseln oder Binding Corporate Rules angewiesen. Diese erforderten jedoch oft zusätzlichen administrativen Aufwand und boten keine langfristige Lösung.
Um einen reibungslosen transatlantischen Datenfluss zu gewährleisten, haben die EU und die USA nach dem Urteil des Europäischen Gerichtshofs 2020 über die Ausarbeitung eines neuen Angemessenheitsbeschlusses verhandelt, welcher am 10. Juli 2023 von der Europäischen Kommission angenommen wurde. Seither kann dieser Angemessenheitsbeschluss von Unternehmen zum transatlantischen Datenaustausch mit zertifizierten Unternehmen genutzt werden.
Das U.S. Departement of Commerce hat bereits eine Liste mit zertifizierten Unternehmen veröffentlicht welche Unternehmen vor der Datenübermittlung einsehen sollten, um zu überprüfen, ob das Unternehmen, mit welchem ein Datenaustausch angedacht ist, zertifiziert ist.
Kritik wurde bereits geäußert
Wie bereits in der Vergangenheit wurde auch jetzt bereits Kritik an dem sicheren Datenaustausch auf Basis des EU-U.S. Data Privacy Framework geäußert. Der Gang zum EuGH wurde bereits angekündigt. Es bleibt also weiterhin spannend rund um den transatlantischen Datenaustausch.