EU-US Datentransfer: Adäquanzentscheidung der EU-Kommission ist veröffentlicht. Und jetzt?
Gespeichert von Dr. Axel Spies am
Etwas früher als erwartet hat die EU-Kommission heute ihre Adäquanzentscheidung im Nachgang zur EuGH Entscheidung Schrems II (im Blog u.a. hier) und der Biden Executive Order 14086 ("EO"- im Blog hier) veröffentlicht. Den Volltext der Entscheidung (137 Seiten) findet man hier.
Hier einige erste Beobachtungen als Q&A, wie es jetzt weitergeht, basiert auf dem Text der Entscheidung:
- Ist mit einer baldigen Einstweiligen Anordnung eines Gerichts gegen die Adäquanzentscheidung zu rechnen? Eher nicht: NOYB, die Organisation von Max Schrems, will nicht sehr überraschend lieber früher als später Klage einreichen. Aber das Verfahren dürfte geraume Zeit in Anspruch nehmen. Eine Hürde: Klagebefugnis von NOYB ist erforderlich. In der Adäquanzentscheidung führt die KOM aus (RZ 207): „Gemäß Art. 58 Abs. 5 DSGVO und wie der Gerichtshof in seinem Urteil in der Rechtssache Schrems ausgeführt hat, muss das nationale Recht einer nationalen Datenschutzbehörde, die die Vereinbarkeit eines Angemessenheitsbeschlusses der Kommission mit den Grundrechten des Einzelnen auf Schutz der Privatsphäre und Datenschutz in Frage stellt, einen Rechtsbehelf zur Verfügung stellen, um diese Einwände vor einem nationalen Gericht vorzubringen, das gegebenenfalls ein Vorabentscheidungsersuchen an den Gerichtshof richten muss.“ -- Angesichts der neuen Entwicklungen zum US-Recht, auf die die KOM auf vielen Seiten eingeht, den Ipementierungszusgaen der US Regierung und der o.g. Biden- EO dürfte es für eine Einstweilige Anordnung auch materiellrechtlich schwierig werden. Wann der EuGH sich dazu äußern wird, ist unklar. NOYB geht sehr optimistisch davon aus, „dass das neue System in den nächsten Monaten von den ersten Unternehmen umgesetzt wird, was den Weg für eine Anfechtung durch eine Person ebnen wird, deren Daten im Rahmen des neuen Instruments übermittelt wurden. Es ist nicht unwahrscheinlich, dass eine Anfechtung bis Ende 2023 oder Anfang 2024 beim EuGH eingehen (!) wird.“
- Sind die Standartvertragsklauseln von 2021 (SCC) jetzt Rechtsgeschichte? Nein, die Entscheidung bezieht sich auf die nach dem Privacy Shield /DPF zertifizierten US-Unternehmen. Diese sind unter Ziff. 2.2.1, RZ 9 definiert. Vermutlich werden viele Datenexporteure schon aus Gründen der Vorsicht die SCC von 2021 weiter nutzen wollen oder gar müssen, weil der Empfänger nicht unter das DPF fällt.
- Können die Datenexporteure und -importeure ihre mit viel Mühe erstellten Data Transfer Impact Assessments (TIAs) jetzt für die USA in den Schredder schmeißen? Lieber nicht – siehe RZ 206:„Insbesondere die Übermittlung von einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter in der Union an zertifizierte Organisationen in den Vereinigten Staaten erfolgen, ohne dass eine weitere Genehmigung eingeholt werden muss.“ – Den Text muss man wohl so lesen, dass nur die nach dem Privacy Shield/DPF zertifizierten Unternehmen keine TIA mehr brauchen.
- Kann eine nationale Datenschutz Behörde die Adäquanzentscheidung ignorieren oder abändern? Nein, siehe RZ 205: „Ein gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlassener Angemessenheitsbeschluss der Kommission ist für alle Organe der Mitgliedstaaten, an die er gerichtet ist, einschließlich ihrer unabhängigen Aufsichtsbehörden, verbindlich.“
- Was müssen Unternehmen jetzt tun, die bereits nach dem Privacy Shield zertifiziert sind? Die Lage der US-Unternehmen, die bereits nach dem Privacy Shield/DPF registriert sind oder das jetzt tun wollen, haben wir im Blog schon hier diskutiert.
Damit ist die Analyse natürlich nicht abgeschlossen. Was halten Sie von der Entscheidung?