Die Europäische Kommission hat am 10.07.2023 einen neuen Angemessenheitsbeschluss für einen sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA erlassen.
Grundlage hierfür ist das Trans-Atlantic Data Privacy Framework :
„In dem Beschluss wird festgelegt, dass die Vereinigten Staaten ein
angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten sicher aus der EU an US-Unternehmen übermittelt werden, die am Rahmen teilnehmen, ohne dass zusätzliche Datenschutzgarantien eingeführt werden müssen.
Mit dem Datenschutzrahmen EU-USA werden neue verbindliche Garantien
eingeführt, um allen vom Europäischen Gerichtshof geäußerten Bedenken
Rechnung zu tragen; so ist vorgesehen, dass der Zugang von
US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist und ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen wird, zu dem Einzelpersonen in der EU Zugang haben. Der neue Rahmen bringt erhebliche Verbesserungen gegenüber dem im Rahmen des Datenschutzschilds bestehenden Mechanismus mit sich.
Und weiter:
„US-Unternehmen können sich dem Datenschutzrahmen EU-USA anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten, darunter beispielsweise die Pflichten, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden. (…)
Darüber hinaus sieht der US-Rechtsrahmen bestimmte Garantien in Bezug auf den Zugang von US-Behörden zu innerhalb des Rahmens übermittelten Daten vor, insbesondere für Datenzugriffe zum Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu Daten ist auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt.“
Fazit:
Der Angemessenheitsbeschluss entfaltet sofortige Wirkung. Die US-Unternehmen müssen sich nur zur Einhaltung der neuen Datenschutz-Regelungen verpflichten und entsprechend dem Abkommen beitreten. Daher ist auf dieser Grundlage ein Datenaustausch mit den USA wieder möglich. Das Abkommen und der Angemessenheitsbeschluss haben aber von Seiten der Datenschützer massive Kritik erfahren, da aus ihrer Sicht auch weiterhin keine Datensicherheit bestünde. Daher steht zu befürchten, dass es nur eine Frage der Zeit ist, bis der EuGH zur Klärung dieser Frage erneut angerufen werden wird.