Die Europäische Kommission hat den Angemessenheitsbeschluss für den Datenschutzrahmen zwischen der EU und den USA angenommen. Ein Angemessenheitsbeschluss ist ein Instrument der Datenschutz-Grundverordnung (DSGVO), um personenbezogene Daten aus der EU in Drittländer übermitteln zu können, die nach Einschätzung der Kommission ein vergleichbares Schutzniveau für personenbezogene Daten bieten wie die Europäische Union.

Lange hatte Unsicherheit geherrscht, nachdem der Gerichtshof der Europäischen Union den vorherigen Angemessenheitsbeschluss zum Datenschutzschild EU-USA im Jahr 2020 für ungültig erklärt hatte (s. hierzu auch unseren Blogartikel: Was tun nach dem Fall des EU-US-Privacy-Shield?).

In dem vorliegenden Beschluss werden nun neue verbindliche Garantien eingeführt, um allen vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen. So ist vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist und ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen wird, zu dem Einzelpersonen in der EU Zugang haben.

Zudem soll die Funktionsweise des Datenschutzrahmens regelmäßig gemeinsam von der Europäischen Kommission und Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden überprüft werden. Die erste Überprüfung soll binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses erfolgen, um zu ermitteln, ob alle einschlägigen Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.

 Welche Bedeutung hat der Angemessenheitsbeschluss für E-Mail Service Provider (ESP) und ihre Partner?

Bislang mussten in den USA ansässige ESP und ihre Vertragspartner in der EU die im Jahr 2021 erlassenen Standardvertragsklauseln zum Datentransfer in die USA verwenden. Der Nachteil an dem bislang geltenden Verfahren war, dass neben der Verwendung der Standardvertragsklauseln noch weitere, nicht näher definierte Schutzmaßnahmen ergriffen werden mussten, um die Sicherheit in den USA zu gewährleisten (s. hierzu unseren Blogartikel: Rechtsrahmen für den internationalen Datentransfer: Die EU/US-Situation)

Der neuerliche Angemessenheitsbeschluss hat zur Folge, dass personenbezogene Daten aus der EU in die USA übermittelt werden können, ohne dass es weiterer Schutzmaßnahmen bedarf, sofern es sich um ein entsprechend zertifiziertes US-Unternehmen handelt. Dabei wird der bereits im gekippten Datenübereinkommen angewandte Zertifizierungsmechanismus übernommen. Das US-Handelsministerium hat eine Liste von US-Unternehmen veröffentlicht, die sich gegenüber dem Ministerium zertifiziert und sich zur Einhaltung der Grundsätze des Datenschutzrahmens EU-USA verpflichtet haben, (nähere Informationen zu Verfahren, Hintergrund sowie die Übersicht der gelisteten Unternehmen s.: https://www.dataprivacyframework.gov/s/participant-search).

Datenübermittlungen an US-Unternehmen, die nicht in der Liste zum Datenschutzrahmen EU-USA verzeichnet sind, können allerdings auch künftig nicht auf den Angemessenheitsbeschluss gestützt werden. Solche Übermittlungen erfordern weiterhin geeignete Garantien nach Art. 46 DS-GVO (z. B. Standardvertragsklauseln oder den Rückgriff auf verbindliche interne Datenschutzvorschriften nach Art. 47 DS-GV, sog. Binding Corporate Rules), unter Umständen in Verbindung mit einer Genehmigung durch eine zuständige Aufsichtsbehörde oder das Vorliegen eines Ausnahmetatbestands nach Art. 49 DS-GVO im Einzelfall.

In den USA ansässige ESP sollten sich daher dringend beim Handelsministerium zertifizieren lassen, denn nur dann ist ein rechtssicherer und unbürokratischer Datenaustausch zwischen der EU und den USA möglich.