Schlagwort: EU Kommission

EU-Ausschuss lehnt Angemessenheit des EU-US-Datenschutzrahmens in Entwurf einer Stellungnahme ab

17. Februar 2023

Die Europäische Kommission hatte im Dezember 2022 den Entwurf eines Angemessenheitsbeschlusses für die Übermittlung personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ veröffentlicht. Am 14. Februar 2023 forderte nun der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments die Europäische Kommission in einer Stellungnahme dazu auf, den möglichen Angemessenheitsbeschluss auf der Grundlage des vorgeschlagenen EU-US-Datenschutzrahmens nicht anzunehmen. Der Ausschuss argumentierte, dass der Rahmen keine tatsächliche Gleichwertigkeit mit der Europäischen Union (EU) in Bezug auf das Datenschutzniveau herstelle.

Rechtsverletzungen und zu große Unsicherheit

In der Stellungnahme wird zunächst auf die Charta der Grundrechte der Europäischen Union und ihre Artikel über den Schutz der Privatsphäre und den Datenschutz verwiesen. Sie zitiert auch die Schrems I und II Rechtsprechung des Europäischen Gerichtshofes (EuGH), in denen die Abkommen Safe Harbour und Privacy Shield für ungültig erklärt wurden. In der Stellungnahme wird betont, dass der wahllose Zugriff von Nachrichtendiensten auf die elektronische Kommunikation das Grundrecht auf Vertraulichkeit der Kommunikation und das Wesen des Rechts auf einen Rechtsbehelf verletzte.

Darüber hinaus werden auch die jüngsten Entwicklungen in den USA erwähnt, darunter Präsident Bidens Executive Order 14086 (EO) über die Verbesserung der Sicherheitsvorkehrungen für die Aktivitäten der US-Signalaufklärung und die vom US-Justizminister erlassene Verordnung über das Datenschutzprüfungsgericht. Man erkenne an, dass die USA Schritte unternommen hätten, um Bedenken im Zusammenhang mit Überwachung und Datenschutz auszuräumen, betone jedoch, dass ein angemessenes Schutzniveau für personenbezogene Daten unerlässlich sei.

Die inhaltlichen Definitionen der Begriffe “Verhältnismäßigkeit” und “Notwendigkeit” in der Executive Order, die den Rahmen bildet, stimmten nicht mit ihrer Bedeutung und Auslegung in der EU überein. Darüber hinaus könne der US-Präsident diese ändern, wodurch sie unklar, ungenau und in ihrer Anwendung unvorhersehbar seien. Das Gericht für die Überprüfung des Datenschutzes sei nicht transparent, unabhängig oder unparteiisch und Entscheidungen würden nicht veröffentlicht oder den Beschwerdeführern zugänglich gemacht. Schließlich verfügten die Vereinigten Staaten auch nicht über ein Bundesdatenschutzgesetz. Dabei wurden bestehende datenschutzrechtliche Gesetze der Bundesstaaten sowie branchenspezifische Bundesgesetze allerdings außer Acht gelassen.

Fazit und Ausblick

Der Ausschuss kommt zu dem Schluss, dass der Datenschutzrahmen zwischen der EU und den USA keine tatsächliche Gleichwertigkeit des Schutzniveaus herstellt und fordert die Kommission auf, die Verhandlungen mit ihren US-amerikanischen Partnern fortzusetzen, um so einen Mechanismus zu schaffen, der eine solche Gleichwertigkeit gewährleistet und das angemessene Schutzniveau bietet, das nach dem Datenschutzrecht der Union und der Charta in der Auslegung durch den EuGH erforderlich ist. Er fordert die Kommission nachdrücklich auf, die Angemessenheitsentscheidung nicht anzunehmen. Es ist wahrscheinlich, dass sich das EU-Parlament dieser Haltung anschließen wird.

Die Aufforderung des Ausschusses an die Kommission, unter diesen Voraussetzungen keine neue Angemessenheitsentscheidung in Bezug auf die USA zu erlassen, ist nicht bindend. Die Einwände des Ausschusses und seine Forderung nach sinnvollen Reformen sind angesichts der Bedeutung des Schutzes personenbezogener Daten allerdings nachvollziehbar. Die vom Ausschuss hervorgehobenen Probleme müssen angegangen werden, um sicherzustellen, dass personenbezogene Daten in einem Abkommen zwischen der EU und den USA angemessen geschützt werden. Andernfalls gilt es als wahrscheinlich, dass auch dieses Abkommen der Rechtsprechung und Auslegung des EuGH nicht standhalten würde.

EU Kommission nimmt Angemessenheitsbeschluss zum Vereinigten Königreich an

5. Juli 2021

Die Europäische Kommission hat am 28. Juni 2021 den Angemessenheitsbeschluss im Rahmen der Datenschutzgrundverordnung angenommen. Das Datenschutzniveau in Großbritannien wurde damit von der Kommission als angemessen für europäische Standards anerkannt und personenbezogene Daten können nun trotz Brexit ungehindert aus der Europäischen Union in das Vereinigte Königreich übermittelt werden.

Zur Begründung führte die Kommission aus, dass das Vereinigte Königkreich weiterhin auf den selben Regeln basiert, die galten als es noch Mitglied der EU war. Auch die Grundsätze, Rechte und Pflichten der DSGVO seien vollständig in das seit dem Brexit geltende Rechtssystem übernommen worden.

Im Vorfeld war der Angemessenheitsbeschluss häufig wegen des ungehinderten und unkontrollierten Zugriffs britischer Geheimdienste auf personenbezogene Daten in Kritik geraten. Zudem hatte der Europäische Gerichtshof für Menschenrechte (EGMR) im Mai erst ein Urteil erlassen, indem es die Massenüberwachung durch britische Geheimdienste als Verstoß gegen die Menschenrechte gewertet hatte. Auch dieser Kritik begegnete der Beschluss, indem er dem Vereinigten Königreich in Bezug auf den Zugriff auf personenbezogene Daten starke Garantien zusprach. Ein wichtiges Element des Beschlusses ist daher, dass insbesondere die Geheimdienste bei Datenerhebungen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan unterliegen. Ebenso, dass alle ergriffenen Maßnahmen notwendig und verhältnismäßig sein müssen.

Neu an dem Angemessenheitsbeschluss ist auch, dass dieser erstmals eine sog. Verfallsklausel (“sunset clause”) enthält, durch den die Geltungsdauer des Beschlusses auf vier Jahre begrenzt wird. Während dieser Zeit hat die Kommission angekündigt, dass Datenschutzniveau im Vereinigten Königreich ständig im Blick zu behalten und im Falle von Abweichungen entsprechend einzugreifen. Sollte nach Ablauf der vier Jahre weiterhin ein angemessenes Datenschutzniveu vorliegen, kann der Beschluss auch verlängert werden.

Durch den Angemessenheitsbeschluss hat die Europäische Kommission eine Rechtsgrundlage für Datenübermittlungen in das Vereinigte Königreich für die nächsten vier Jahre geschaffen. Sollte der Beschluss nicht zufrieden stimmen, sind Klagen gegen diesen – ähnlich wie dies mit dem Privacy-Shield im Schrems-II-Urteil geschah – möglich.