Neue Hoffnung für den Transfer personenbezogener Daten in die USA: Präsident Joe Biden unterzeichnet Executive Order 

Seit dem der EuGH mit seiner Entscheidung im Juli 2020 „Schrems ll“ die rechtliche Grundlage für Datentransfers von der EU in die USA gekippt hatte, besteht Unsicherheit bei der Übermittlung personenbezogener Daten in die USA. Gerade für kleine und mittelständische Unternehmen ist der Aufwand im Rahmen von Einzelfallprüfungen hinsichtlich der Zulässigkeit ihrer Datentransfers in die USA, beispielsweise bei dem Einsatz von Cloud-Dienstleistern und anderen IT-Lösungen, kaum zu bewältigen. Die im Juni 2021 veröffentlichten Standarddatenschutzklauseln haben hierbei – nicht zuletzt angesichts divergierender Auffassungen der nationalen Datenschutzbehörden innerhalb der EU - nur bedingt Abhilfe geschaffen. 

Die gemeinsame Pressekonferenz am 25. März 2022 von US-Präsident Joe Biden und der Präsidentin der Europäischen Kommission, Ursula von der Leyen, hatte Hoffnung auf ein neues Abkommen zwischen den USA und der Europäischen Union gemacht, auf dessen Grundlage der Datentransfer erleichtert werden soll. Die USA und EU einigten sich auf einen transatlantischen Datenschutzrahmen. Dieser setzt voraus, dass die USA ihre Rechtslage derart anpasst, dass aus Sicht der EU ein angemessenes Datenschutzniveau besteht.

Die jüngst von Präsident Joe Biden am 07. Oktober 2022 unterzeichnete Executive Order stellt einen hierfür wesentlichen Schritt dar.

Mit der Executive Order werden neue verbindliche Garantien eingeführt, die alle vom Europäischen Gerichtshof in seiner Entscheidung „Schrems II“ aufgeführten beanstandeten Punkte berücksichtigen sollen. Insbesondere soll der Zugang durch US-Sicherheitsbehörden zu personenbezogenen Daten von EU-Bürgern eingeschränkt und ein Gericht zur Überprüfung von Datenzugriffen, sog. „Datenschutzüberprüfungsgericht“, eingerichtet werden.

Wie sehen die nächsten Schritte aus?

Mit der Unterzeichnung der Executive Order hat die Europäische Kommission am selben Tag ein „Questions & Answers“-Dokument veröffentlicht. Darin teilt die Kommission mit, das Verfahren zur Annahme eines Angemessenheitsbeschlusses einzuleiten. 

Während des Überprüfungsverfahrens der EU werden die europäischen Datenschutzbehörden die Möglichkeit haben, Stellungnahmen zu dem neuen Angemessenheitsbeschluss abzugeben, die jedoch für die Europäische Kommission nicht bindend sind. Ein Überblick über den genauen Verfahrensablauf findet sich hier.

Nach erfolgreichem Abschluss wird es Unternehmen, die vom US-Handelsministerium im Rahmen der neuen Datenschutzrichtlinie zertifiziert werden, erlaubt sein, personenbezogene Daten zwischen der EU und den USA zu übermitteln. 

Unsichere Rechtslage besteht weiterhin 

Die Entscheidung der Europäischen Kommission bleibt abzuwarten. Daher ändert sich vorerst nichts an der bisherigen unsicheren Rechtslage. Für die Übermittlung personenbezogener Daten in die USA sind nach wie vor die folgenden Maßnahmen erforderlich:

• Abschluss des einschlägigen Moduls der Standarddatenschutzklauseln 
• Durchführung eines "Transfer Impact Assessments" (TIA)
• ggf. macht der Datentransfer weitere erforderliche Maßnahmen zum Schutz personenbezogener Daten erforderlich

Weitere Informationen zu den Standarddatenschutzklauseln der Europäischen Kommission können Sie in unserem Beitrag vom 07. Juni 2021 nachlesen. (vgl. unten stehenden Link)

Unternehmen, die noch auf Grundlage der veralteten Standarddatenschutzklauseln personenbezogene Daten in die USA übermitteln, sollten unbedingt beachten, dass Sie bis zum 27. Dezember 2022 Zeit haben, diese durch die neuen Standarddatenschutzklauseln zu ersetzen.