FAQ zum Angemessenheitsbeschluss
Was ist das Trans-Atlantic Data Privacy Framework (TADPF)?
Das TADPF ist ein Rahmenwerk oder simpel ausgedrückt, eine Vereinbarung, zwischen der Europäischen Union und den USA, zur Herstellung eines angemessenen Datenschutzniveaus, welches mit den Regelungen der EU vergleichbar ist, um den Datentransfer zwischen Europa und den USA zu vereinfachen. Der Angemessenheitsbeschluss der EU-Kommission stellt neben den EU-Standardvertragsklauseln eine weitere rechtliche Grundlage dar, um die Datenübermittlung in die USA vornehmen zu dürfen.
Wie kam es zum erneuten Abkommen zwischen der EU und den USA?
In Übereinstimmung mit dem TADPF gab es Änderungen in der Gesetzeslage in den USA, dazu gehörten:
- Erlass einer Executive Order (Nr. 14086) der Biden-Administration: „Enhancing Safeguards for United States Signals Intelligence Activities”
- EU-U.S. Data Privacy Framework („EU-U.S.DPF“)
- Durchführungsverordnung als interne Richtlinie der US-amerikanischen Regierung (mit Gesetzeskraft)
Einseitige „Grundsatzvereinbarung“ zwischen Biden und von der Leyen aus dem Jahr 2022
Hinweis: auf die detaillierten Inhalte der neuen Gesetzeslage werden wir an gesonderter Stelle eingehen.
Auf Grundlage des Trans-Atlantic Data Privacy Framework beschloss die Europäische Kommission, dass… „die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden“.
Das oben genannte Zitat ist ein Auszug aus dem sogenannten Angemessenheitsbeschluss der Europäischen Kommission. Gemäß Artikel 45 DSGVO ist der Angemessenheitsbeschluss eine Rechtsgrundlage zum Datentransfer in sogenannte Drittländer, in diesem Fall, USA.
Was ist das Besondere an diesem Angemessenheitsbeschluss?
Der Angemessenheitsbeschluss wurde für die USA nicht generell getroffen.
Voraussetzung für den Datentransfer ist ein erfolgreiches Selbstzertifizierungsverfahren der US-Unternehmen. Es muss sichergestellt sein, dass das Unternehmen das Selbstzertifizierungsverfahren (Data Privacy Framework) erfolgreich absolviert hat. Die Zertifizierung erfolgt durch die US-Export Behörde.
Nur wenn das US-Unternehmen das Zertifizierungsverfahren erfolgreich absolviert hat ist der Angemessenheitsbeschluss als Rechtsgrundlage wirksam und es können Daten auf dieser Rechtsgrundlage transferiert werden.
Wie ist der Angemessenheitsbeschluss im kirchlichen Datenschutzrecht zu bewerten?
EKD-Datenschutzgesetz (DSG-EKD)
Das evangelische Datenschutzrecht regelt die Datenübermittlung im Kontext eines Angemessenheitsbeschlusses in § 10 Abs. 1 Nr. 1 DSG-EKD. Grundsätzlich werden Angemessenheitsbeschlüsse als Rechtsgrundlage akzeptiert. Gibt es jedoch Zweifel, dass ein Angemessenheitsbeschluss rechtswidrig ist, kann gemäß § 44 Abs. 4 DSG-EKD das Verfahren ausgesetzt und ein Antrag auf gerichtliche Entscheidung gestellt werden, der grundsätzlich gemäß § 21 BDSG abläuft, sofern dem nicht Besonderheiten der kirchlichen Verwaltungsgerichtsordnung entgegenstehen.
Gesetz über den kirchlichen Datenschutz der katholischen Kirche (KDG)
Im katholischen Datenschutzgesetz regelt § 40 Abs. 1 KDG die Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses, sowohl für Verantwortliche wie für Auftragsverarbeiter. Die Übermittlung ist unter zwei Bedingungen zulässig:
- wenn ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt – das ist jetzt für Unternehmen mit Datenschutzrahmen-Zertifizierung gegeben.
- wenn dieser Beschluss wichtigen kirchlichen Interessen nicht entgegensteht – diese Regelung ist unklar und wird nirgends im Gesetz weiter ausgeführt.
Wie bewerten die Datenschutzbehörden (kirchlich und weltlich) den Angemessenheitsbeschluss?
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
… „Mit dem neuen Angemessenheitsbeschluss können ab sofort personenbezogene Daten aus der EU an die USA wieder fließen, ohne dass weitere Übermittlungsinstrumente oder zusätzliche Maßnahmen erforderlich sind. Dies gilt jedoch nur, sofern die Organisation, an die sie übermittelt werden, auch unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Dies müssen Unternehmen in der EU vorab prüfen.“
Der Datenschutzbeauftragte für Kirche und Diakonie:
… „Ob dieser Angemessenheitsbeschluss einer gerichtlichen Prüfung durch den EuGH standhalten wird, bleibt abzuwarten.“
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
… „Der Beschluss kann jedoch kein Freibrief sein. Ob und inwiefern tatsächlich Geheimdienstaktivitäten auf ein verhältnismäßiges Maß reduziert werden und wirksamer Rechtsschutz gewährleistet ist, kann nur die Umsetzung in der Praxis zeigen.“
Wie beurteilt NOYB, Max Schrems Organisation, den Angemessenheitsbeschluss
… „Der dritte Versuch der Europäischen Kommission, ein stabiles Abkommen zu den Datentransfers zwischen der EU und den USA zu erreichen, wird in wenigen Monaten wieder vor dem Europäischen Gerichtshof (EuGH) landen. Das angeblich "neue" transatlantische Datenschutzabkommen ist weitgehend eine Kopie des gescheiterten "Privacy Shield"-Abkommens. Anders als von der Europäischen Kommission behauptet, ändert sich am US-Recht wenig: das grundsätzliche Problem mit FISA 702 wurde von den USA nicht angegangen, wodurch nach wie vor nur US-Personen verfassungsmäßige Rechte haben und nicht anlasslos überwacht werden dürfen“
… „noyb hat bereits verschiedene Verfahrensoptionen vorbereitet, um das neue Abkommen erneut vor den EuGH zu bringen.“
Ist mit dem Angemessenheitsbeschluss die Rechtslage zum Datentransfer geklärt?
Ja, mit dem Angemessenheitsbeschluss gibt es eine (weitere) Rechtsgrundlage für den Datentransfer zwischen der EU und den USA neben den EU-Standardvertragsklauseln. Die Rechtsgrundlage ist nur dann wirksam, wenn das US-Unternehmen das notwendige Selbstzertifizierungsverfahren durchgeführt hat.
Fällt mit dem Angemessenheitsbeschluss die Notwendigkeit einer Datenschutzfolgeabschätzung weg?
Anhand einer verpflichtenden Schwellwertanalyse muss geprüft werden, ob eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO, § 34 DSG-EKD, § 35 KDG notwendig ist. Dies ist dann der Fall, sofern einer der gesetzlich geregelten Fälle in den genannten Vorschriften zutrifft oder die die Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten für die Person deren personenbezogen Daten verarbeitet und in Drittländer, insbesondere der USA, übermittelt werden.
Es ist zudem zu beachten, dass unabhängig von der Durchführung einer DSFA, die verantwortliche Stelle (das Unternehmen/die Organisation, die Daten verarbeitet) dazu verpflichtet ist, geeignete technische und organisatorische Maßnahmen zum Datenschutz zu treffen und den Nachweis zu erbringen, dass die Vorschriften des Datenschutzrechtes gewahrt werden.
Ferner müssen die notwendigen Auftragsverarbeitungsverträge nach Art. 28 DSGVO, § 30 DSG-EKD,
§ 30 KDG mit dem Auftragnehmer (Datenimporteur) abgeschlossen werden sowie die Grundsätze der Verarbeitung eingehalten werden, d.h. es ändert sich nichts an der Einhaltung der datenschutzrechtlichen Vorgaben.
Ende gut-Alles gut (Einschätzung der Autoren)?
Aktuell ist der Einsatz von US-Dienstleistern, die unter dem Trans-Atlantic Data Privacy Framework zertifiziert sind, rechtssicher. Es wird im Wesentlichen darauf ankommen, ob und wie die Beschränkungen der Nachrichtendienste in der Praxis funktionieren. Die Massenüberwachung der FISA-Programme „Prism“ und „Upstream“ bleiben bestehen. In diesem Kontext ist auch der neu geplante Rechtsbehelf, durch die Einrichtung des Data Protection Review Court (DPRW), in Folge zu beobachten. Denn wenn die Maßnahme nach US-Recht rechtmäßig ist, kann das DPRC keine Abhilfe schaffen.
Es ist durchaus möglich, dass der Angemessenheitsbeschluss durch den EuGH ein weiteres Mal gekippt wird. Ferner hat der EuGH während des Anfechtungsverfahrens, was nach aktueller Schätzung in wenigen Monaten beginnen wird, die Möglichkeit das neue Abkommen so lange auszusetzen, bis das Verfahren beendet wurde. Eine Entscheidung wäre 2024 oder 2025 zu erwarten. Unabhängig davon, ob eine solche Anfechtung erfolgreich sein wird, wird dies in etwa ein bis zwei Jahren Klarheit über das "Trans-Atlantic Data Privacy Framework" bringen. Es ist daher ratsam, als Unternehmen auf die verschiedenen Szenarien vorbereitet zu sein und durch geeignete technische und organisatorische Maßnahmen den Datenschutz sicherzustellen und so jederzeit sicher agieren zu können, auch wenn sich die datenschutzrechtlichen Bedingungen wieder ändern.
Das bedeutet, Unternehmen sollten nichts Wesentliches an ihrer Strategie bzgl. der Digitalisierung, Datenschutz und Informationssicherheit ändern, um nicht in absehbarer Zeit wieder Rechtsunsicherheiten ausgesetzt zu sein.
Autoren: Fabian Brandenburger und Rodney Wiedemann
Unter Einbezug folgender Quellen:
Quellen:
Zum kirchlichen Datenschutzrecht
https://artikel91.eu/2023/07/11/eu-us-datenschutzrahmen-im-kirchlichen-datenschutz/#more-4902
Erste Reaktionen der Datenschutzbehörden
https://datenschutz-hamburg.de/pressemitteilungen/2023/03/2023-03-01-dataprivacyframework
https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/17_Angemessenheitsbeschluss-EU-US-DPF.html
Angemessenheitsbeschluss
NOYB
https://noyb.eu/de/european-commission-gives-eu-us-data-transfers-third-round-cjeu
Executive Order 14086
https://www.justice.gov/opcl/executive-order-14086
EU-US Data Privacy Framework
https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752