Kostenlose Hotline: 0049 0800-2183-333 Versandkostenfrei
Menü schließen
Inhalt
Die USA sind im Verhältnis zur EU ein Drittland, also ein Land, das weder der EU angehört noch auf der Basis besonderer völkerrechtlicher Regelungen wie ein Mitgliedstaat der EU zu behandeln ist. Letzteres ist für Island, Liechtenstein und Norwegen der Fall. Diese Staaten sind zwar nicht Mitglied der EU, sie gehören jedoch dem Europäischen Wirtschaftsraum (EWR) an. Für ihn gelten beim EU-Datenschutz dieselben rechtlichen Regelungen wie für EU-Mitgliedstaaten.
Die DSGVO lässt die Übermittlung von personenbezogenen Daten aus der EU in ein Drittland nur zu, wenn eine der Voraussetzungen erfüllt ist, die Kapitel V der DSGVO hierfür vorsieht (Art. 44 DSGVO). Ein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO ist eine der Möglichkeiten, die Kapitel V der DSGVO bereithält. Er stellt bei Erfüllung der Voraussetzungen, die er vorgibt, eine Rechtsgrundlage für die Übermittlung von personenbezogenen Daten aus der EU in das Drittland dar, auf den sich der Angemessenheitsbeschluss bezieht.
Für die USA fehlt es im Augenblick an einem gültigen Angemessenheitsbeschluss, weil der EuGH den Angemessenheitsbeschluss zum Privacy Shield für nichtig erklärt hat. Damit ist eine Datenübermittlung in die USA nur auf der Basis anderer Rechtsgrundlagen möglich. Ein wichtiges Beispiel für eine solche alternative Rechtsgrundlage ist die Verwendung von Standardvertragsklauseln gemäß Art. 46 Abs. 2 Buchst. c DSGVO. Sie sind zwar durchaus praktikabel, doch erfordert ihre Nutzung deutlich mehr Aufwand als Datenübermittlungen auf der Grundlage eines Angemessenheitsbeschlusses. Das ist der Grund dafür, warum die Datenschutzpraxis großen Wert darauf legt, dass es bald zu einem Angemessenheitsbeschluss im Verhältnis zu den USA kommt.
Beim TDPF handelt es sich stark vereinfacht gesagt um ein Paket rechtlicher Zusagen der USA, das den Weg zu einem Angemessenheitsbeschluss der EU-Kommission hinsichtlich der USA bereiten soll. Es handelt sich also nicht etwa um einen Vertrag zwischen der EU und den USA, obwohl der Inhalt des Pakets zwischen der EU und den USA in gemeinsamen Verhandlungsrunden natürlich umfassend erörtert und im Ergebnis regelrecht ausgehandelt worden ist.
Die Erfüllung der Voraussetzungen, die das TDPF aufstellt, soll bewirken, dass die USA für Datenübermittlungen, die auf seiner Basis erfolgen, ein angemessenes Schutzniveau gemäß Art. 45 Abs. 1 Satz 1 DSGVO bieten. Dies wiederum soll es der EU-Kommission ermöglichen, dies in einem Angemessenheitsbeschluss mit rechtlich bindender Wirkung festzustellen.
Es gibt insoweit zwei Hauptakteure, deren Zusammenwirken erforderlich ist. Hauptakteur Nr.1 ist die EU-Kommission. Nur sie hat die Möglichkeit, ein Verfahren zur Verabschiedung eines Angemessenheitsbeschlusses einzuleiten. Und sie ist das Organ der EU, das den Beschluss letztlich fasst. Damit sie dies tun kann, braucht sie allerdings die Zustimmung eines speziellen Ausschusses der EU-Mitgliedstaaten. Da ohne seine Zustimmung kein Angemessenheitsbeschluss ergehen kann, ist er als Hauptakteur Nr. 2 anzusehen.
Der eben geschilderte Ablauf ist aus den Bestimmungen der DSGVO nicht ganz leicht herauszulesen. Die besondere Rolle der EU-Kommission ergibt sich noch relativ einfach aus Art. 45 Abs.1 DSGVO. Er sagt ausdrücklich, dass die EU-Kommission solche Beschlüsse fassen kann. Deutlich schwieriger ist es, die wichtige Rolle des Ausschusses der Mitgliedstaaten zu erkennen. Sie ergibt sich aus dem Zusammenspiel mehrerer Bestimmungen der DSGVO:
In Art. 45 Abs. 3 Satz 4 DSGVO ist festgelegt, dass ein Angemessenheitsbeschluss „gemäß dem in Art. 93 Abs. 2 DSGVO genannten Prüfverfahren“ erlassen wird.
Art. 93 Abs. 2 DSGVO wiederum lautet wie folgt: „Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nummer 182/2011“.
Diese Verordnung ist Praktikern des Datenschutzes im Allgemeinen nicht vertraut. Sie befasst sich laut ihrer Überschrift damit, wie die Mitgliedstaaten die „Wahrnehmung der Durchführungsbefugnisse“ der EU-Kommission kontrollieren. Verständlicher formuliert bedeutet dies: Aus dieser Verordnung ergibt sich, welche ihrer Befugnisse aus der DSGVO die EU-Kommission allein ausüben kann und wann die Mitgliedstaaten dabei mitzureden haben.
Art. 93 Abs. 2 DSGVO nimmt ausdrücklich Bezug auf Art. 5 dieser Verordnung. Dessen Absatz 2 bestimmt, dass die EU-Kommission den „im Entwurf vorgesehenen Durchführungsrechtsakt“ nur erlassen darf, wenn der erwähnte Ausschuss mit Mehrheit zustimmt.
Der geplante Angemessenheitsbeschluss auf der Basis des TDPF ist in der Terminologie des EU-Rechts ein solcher Durchführungsrechtsakt. Dies bedeutet: Die EU-Kommission kann ihn nur mit Zustimmung des Ausschusses der Mitgliedstaaten erlassen.
Besetzt ist dieser Ausschuss mit Vertretern der Regierungen der EU-Mitgliedstaaten.
Die wichtige Rolle des Ausschusses der Mitgliedstaaten ist erfahrungsgemäß nur Spezialisten des EU-Rechts bekannt. Sie kennen dieses Ausschussverfahren unter dem Fachbegriff „Komitologie-Verfahren“. Entsprechende Ausschüsse bestehen nicht dauerhaft. Sie werden jeweils aus aktuellem Anlass (hier: aus Anlass des Angemessenheitsbeschlusses zum TDPF) gebildet. Das ist in diesem Fall bereits geschehen. Die EU-Kommission hat dem Ausschuss den abschließenden Entwurf des Angemessenheitsbeschlusses jedoch noch nicht zur Zustimmung vorgelegt. Sie hat ihn bisher lediglich über den Stand des Entwurfs informiert.
Es gibt zwei Nebenakteure, die Gelegenheit erhalten müssen, sich zum Entwurf des Angemessenheitsbeschlusses zu äußern. Der Entwurf muss ihnen zwingend vorgelegt werden, ansonsten liegt ein Verfahrensfehler vor, der den Angemessenheitsbeschluss nichtig macht. Ihre Zustimmung zum Entwurf ist jedoch nicht notwendig. Im Gegenteil: Die EU-Kommission könnte den Angemessenheitsbeschluss auch dann erlassen, wenn die beiden Nebenakteure ihn ausdrücklich ablehnen.
Erster Nebenakteur in diesem Sinn ist der Europäische Datenschutzausschuss (EDSA). Die EU-Kommission ist verpflichtet, dem EDSA den Entwurf des Angemessenheitsbeschlusses mit allen zugehörigen Unterlagen zu übermitteln (Art. 70 Abs. 1 Satz 2 Buchst. s Satz 2 DSGVO). Aufgabe des EDSA ist es, eine Stellungnahme zum Entwurf abzugeben. Diese Stellungnahme richtet er an die EU-Kommission (Art. 70 Abs. 1 Satz 2 Buchst. s Satz 1 DSGVO). Außerdem leitet er sie dem oben erwähnten speziellen Ausschuss der Mitgliedstaaten zu (Art. 70 Abs. 3 DSGVO). Wie bereits betont, kann der EDSA den Erlass des Angemessenheitsbeschlusses auch dann nicht verhindern, wenn er ihn ablehnt. Dies ist jedoch nur die förmlich-rechtliche Seite. Da Aussagen des EDSA erhebliches fachliches Gewicht haben, können sie den weiteren Verlauf des Geschehens durchaus wesentlich beeinflussen.
Zweiter Nebenakteur ist das Europäische Parlament. Der Angemessenheitsbeschluss bedarf nicht seiner Zustimmung. Es muss jedoch umfassend über den beabsichtigten Beschluss informiert werden (Informationsrecht des Parlaments gemäß Art. 10 der Verordnung (EU) Nr. 182/2011). Dem Europäischen Parlament steht es frei, sich gegenüber der EU-Kommission zu äußern. Rechtlich gesehen hat eine solche Äußerung lediglich den Charakter eines Hinweises (Hinweisrecht des Parlaments gemäß Art. 10 Verordnung (EU) Nr. 182/2011). Die politische Wirkung kann jedoch weit darüber hinausgehen. Dies ist vor allem dann der Fall, wenn – was üblicherweise erfolgt – das Plenum des Parlaments einen förmlichen Beschluss über seine Haltung zum Entwurf des Angemessenheitsbeschlusses fasst. Ein ausdrücklich zustimmender Beschluss wäre ebenso wie ein ausdrücklich ablehnender Beschluss ein Statement, das politisch kaum ignoriert werden könnte.
Die EU-Kommission hat den Entwurf für einen Angemessenheitsbeschluss zum TDPF am 13. Dezember 2022 vorgelegt und damit den Startschuss für die Verabschiedung eines solchen Beschlusses gegeben. Der Entwurf liegt nur in englischer Sprache vor. Er hat einen Umfang von 134 Seiten und kann hier heruntergeladen werden. Praktiker des Datenschutzes werden sich mit diesem umfangreichen Text im jetzigen Stadium nur ausnahmsweise befassen müssen.
Der EDSA hat in seiner 76. Sitzung am 28. Februar 2023 eine endgültige Stellungnahme zu dem Entwurf verabschiedet. Sie umfasst 54 Seiten und kann (nur auf Englisch) hier abgerufen werden. Die Stellungnahme ist von ihrem Grundtenor her positiv gehalten. Der EDSA lobt eine ganze Reihe positiver Ansätze, wünscht aber andererseits noch zahlreiche Verbesserungen und Klarstellungen. Es ist davon auszugehen, dass die EU-Kommission einer ganzen Reihe dieser Wünsche durch eine Änderung ihres ursprünglichen Entwurfs nachkommt. Jedes andere Vorgehen würde das Verhältnis der EU-Kommission zum EDSA möglicherweise dauerhaft belasten.
Im Europäischen Parlament hat bisher nur der hierfür zuständige Ausschuss für bürgerliche Freiheiten, Justiz und Inneres über den Entwurf des Angemessenheitsbeschlusses beraten. Dieser Ausschuss wird meist abgekürzt als „LIBE-Ausschuss“ bezeichnet. Das Kürzel „LIBE“ ist dabei der englischen Bezeichnung des Ausschusses entnommen („Committee for Civil Liberties, Justice and Home Affairs“). Das Votum dieses Ausschusses war ablehnend. Die deutsche Fassung seines Entschließungsantrags, den er an das Plenum des Europäischen Parlaments gerichtet hat, lässt sich hier einsehen. Es bleibt abzuwarten, ob das Plenum des Europäischen Parlaments dem Votum des Ausschusses in allen Punkten folgt. Die EU-Kommission dürfte zumindest einem Teil der Bedenken des Ausschusses dadurch Rechnung tragen, dass sie ihren bisherigen Entwurf des Angemessenheitsbeschlusses entsprechend ändert. So sind jedenfalls die Erfahrungen aus der Vergangenheit bei vergleichbaren Vorgängen.
Allgemein wird erwartet, dass der Angemessenheitsbeschluss bis Ende Juli 2023 erlassen sein wird, also noch vor der bei den EU-Organen üblichen Sommerpause. So sieht jedenfalls offensichtlich die Arbeitsplanung der Europäischen Kommission aus. Dies haben Äußerungen im Rahmen des 7. Deutsch-Amerikanischen Datenschutztags gezeigt, der am 19. April 2023 in München stattgefunden hat.
Dies ist in keiner Weise der Fall. Argumentationen von der Art, dass die Übermittlung von personenbezogenen Daten in die USA schon jetzt rechtlich problemlos aufgenommen werden könne, weil ja in Kürze ohnehin mit einem Angemessenheitsbeschluss zu rechnen sei, gehen völlig in die Irre. Gleichwohl waren sie selbst in den Wirtschaftsteilen angesehener Tageszeitungen zu lesen. Für die Übermittlung von personenbezogenen Daten in die USA muss zu jedem Zeitpunkt der Übermittlung eine der Rechtsgrundlagen gegeben sein, die hierfür in Kapitel V der DSGVO vorgesehen sind.
In Betracht kommt derzeit beispielsweise die Verwendung von Standardvertragsklauseln. Dabei ist zu beachten: Bereits seit dem 27.09.2021 dürfen neue Verträge ausschließlich auf der Grundlage des neuen Musters der Standardvertragsklauseln vom Juni 2021 abgeschlossen werden. Seit dem 27.12.2022 müssen auch alle schon länger bestehenden Verträge („Altverträge“) auf die neuen Standardschutzklauseln vom Juni 2021 umgestellt sein. Wer dies versäumt hat, muss diese Umstellung sofort nachholen. Er kann nicht damit argumentieren, dass dieser Aufwand jetzt nicht mehr vertretbar sei, da ja der Erlass eines Angemessenheitsbeschlusses kurz bevorstehe. Gleichwohl sind aus der Praxis auch solche verfehlten Überlegungen immer wieder zu hören.
Dr. Eugen Ehmann
Mitautor von Datenschutz in Bayern
Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.
KontaktformularKundenservice
Verlag und Marken
Unsere Themen und Produkte
Service
Rechtliches
Partner der
Welt
