Was verbirgt sich hinter dem Angemessenheitsbeschluss? Sofern personenbezogene Daten in ein Nicht-EU- oder Nicht-EWR-Land transferiert werden soll, bedarf es eines der EU adäquaten Schutzniveaus. Hierzu kann beispielsweise die EU-Kommission einen Beschluss fassen, dass im Zielland grundsätzlich ein solches Schutzniveau vorliegt. Zur Zeit existieren für 14 Staaten solche Angemessenheitsbeschlüsse, wie z. B. für die Schweiz oder UK. Ein Datentransfer ist so zu behandeln, wie ein Datentransfer innerhalb der EU.
Was sollte erreicht werden? Mit dem Verfahren zur Annahme eines Angemessenheitsbeschlusses auf Basis des EU-USA-Datenschutzrahmens wollte die EU-Kommission transatlantische Datenströme fördern und erleichtern. Hintergrund dieser politischen Initiative ist es, dass immer mehr Geschäftsmodelle den internationalen Datentransfer erfordern. Speziell für personenbezogene Daten stellen die EU-Aufsichtsbehörden aber zurecht hohe Anforderungen. Die USA zählen als Drittstaat ohne angemessenes Schutzniveau, da beispielsweise die US-Geheimdienste über weitreichende rechtliche Möglichkeiten verfügen, auf Daten zuzugreifen. Auch die vom Datenschutzaktivisten Max Schrems erstrittenen Urteile des Europäischen Gerichtshofs kritisierte die Befugnisse der US-Geheimdienste und den unzureichenden Rechtsschutz für EU-Bürger.
Was ist nun geschehen? Mit der Initiative des Angemessenheitsbeschlusses sollte dieser Rechtsschutz gestärkt und Garantien für transatlantische Datenübermittlung von europäischen Unternehmen festgezurrt werden. Nun hat die ablehnende Ausschussentscheidung diese Bemühungen gestoppt.
Warum wurde die Initiative gestoppt? Die EU-Ausschussmitglieder heben in ihrer Ablehnungs-Argumentation des Angemessenheitsbeschlusses drei Aspekte besonders hervor:
- Der EU-USA-Datenschutzrahmen biete keine tatsächliche Gleichwertigkeit des Datenschutzniveaus der USA zur EU.
- Die juristische Instanz für die Überprüfung des Datenschutzes sei nicht transparent, unabhängig oder unparteiisch. Entscheidungen müssen nicht veröffentlicht oder den Beschwerdeführern zugänglich gemacht werden.
- Die Definitionen von „Verhältnismäßigkeit“ und „Notwendigkeit“ in der vom US-Präsident Joe Biden unterzeichneten Executive Order stimmten nicht mit ihrer Bedeutung und Auslegung in der EU überein.
Wie geht es nun weiter? Sehr wahrscheinlich wird sich die EU-Kommission der Aufforderung anschließen. Ob die EU-Kommission nun mit weiteren Verhandlungen mit den US-Amerikanern darauf reagiert, muss abgewartet werden. Eine Pflicht dazu besteht nicht. Allerdings ist auch klar, dass eine juristische Überprüfung der vom Ausschuss betonten Problemstellungen nur eine Frage der Zeit ist. Die kritische Haltung des EuGH in Datenschutzfragen ist bekannt.
Was bedeutet das für Unternehmen? Sie sollten weiterhin auf Standardvertragsklauseln setzen, um datenschutzrechtlich auf sicherem Grund zu stehen. „Ansonsten riskieren diese Unternehmen eine empfindliche Geldbuße. Stattdessen sollten Standardvertragsklauseln von Profis anpgepasst werden“, empfiehlt Dr. Jörn Voßbein den Entscheidungsträgern pragmatische Wege beim Datenschutz.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de