Nach fast drei Jahren können Unternehmen, die auf den transatlantischen Datentransfer angewiesen sind, nun wieder aufatmen. Am 10. Juli 2023 hat die EU-Kommission bekannt gegeben, dass sie den Angemessenheitsbeschluss für das „EU-U.S. Data Privacy Framework“ (DPF) abgesegnet hat. Damit wurde mehrjährige Rechtsunsicherheit im Hinblick auf den Datentransfer in die USA beseitigt.

Der neue Datenschutzrahmen soll einen sicheren Datenverkehr zwischen der EU und den USA fördern und die datenschutzrechtlichen Bedenken ausräumen, die seit dem Schrems II-Urteil des Europäischen Gerichtshofs (EuGH, Urteil vom 16. Juli 2020, Az. C-311/18) bestehen. Als Nachfolger des Privacy Shields dient der Beschluss nun als Grundlage für Datenübermittlungen in die USA. Dies gilt allerdings nur, soweit die Stellen, an die personenbezogene Daten übermittelt werden, eine Zertifizierung nach dem neuen Abkommen haben.

 

Das Wichtigste in Kürze

  • Mit dem DPF werden neue verbindliche Garantien eingeführt, die den Anforderungen der Schrems II-Entscheidung des EuGH entsprechen sollen.
  • Durch eine Zertifizierung nach dem DPF verpflichten sich die US-Unternehmen zur Einhaltung bestimmter datenschutzrechtlicher Pflichten, die sich an den Pflichten aus der europäischen DSGVO orientieren.
  • Unternehmen, die zukünftig Daten auf Grundlage des DPF in die USA übermitteln wollen, müssen demgemäß vorab prüfen, ob eine entsprechende Zertifizierung vorliegt.
  • Liegt eine Zertifizierung nach dem neuen EU-US-Datenschutzabkommen vor, sind grundsätzlich keine weiteren Garantien erforderlich.

 

Was bisher geschah

Nachdem der EuGH im Jahr 2015 das „Safe Harbor“ Abkommen, das bis zu diesem Zeitpunkt als Rechtsgrundlage für den Datentransfer in die USA diente, für ungültig erklärt hat (Urteil vom 6. Oktober 2015, Az. C-362/14), kassierte der EuGH bereits 5 Jahre später in einer aufsehenerregenden Entscheidung auch das Nachfolgeabkommen „Privacy Shield“. Daraufhin folgten beinahe zweijährige Verhandlungen zwischen der EU und der US-Regierung. Im Frühjahr 2022 konnte schließlich eine grundsätzliche Einigung über einen neuen transatlantischen Datenschutzrahmen erzielt werden, der die vom EuGH geäußerten datenschutzrechtlichen Bedenken ausräumen sollte. Im Oktober 2022 erließ US-Präsident Joe Biden die Durchführungsverordnung „Enhancing Safeguards for United States Signals Intelligence Activities“, die dazu dienen sollte, die eingegangenen Verpflichtungen gegenüber der EU in US-amerikanisches Recht umzusetzen (Mehr dazu lesen Sie hier.). Auf Grundlage des Dekrets erstellte die EU-Kommission den Entwurf eines Angemessenheitsbeschlusses für den EU-US-Datenschutzrahmen, den sie am 13. Dezember 2022 veröffentlichte (Mehr dazu lesen Sie hier.). Nach langen Verhandlungen innerhalb des EU-Parlaments sowie der Überarbeitung des Entwurfs wurde nun endlich die endgültige Fassung angenommen.

 

Einführung neuer verbindlicher Garantien

Mit dem neuen EU-US-Datenschutzrahmen hat die EU-Kommission neue verbindliche Garantien festgelegt, um die vom EuGH geäußerten Bedenken auszuräumen. Nachdem der EuGH die umfassenden Überwachungsbefugnisse der US-Nachrichtendienste kritisiert hat, ist im Datenschutzrahmen vorgesehene, dass der Zugang zu personenbezogenen Daten von EU-Bürgern auf ein notwendiges und verhältnismäßiges Maß reduziert wird.

Ferner sieht der Rahmen neue Rechtsbehelfsmechanismen für EU-Bürger vor. Konkret sollen Einzelpersonen aus der EU die Möglichkeit haben, Beschwerden bei ihrer nationalen Datenschutzbehörde einzureichen. Dabei müssen sie nicht nachweisen, dass tatsächlich ein Zugriff auf ihre Daten seitens der US-Nachrichtendienste erfolgt ist. Die Beschwerde wird im Anschluss vom Europäischen Datenschutzausschuss an die USA weitergeleitet, wo sie von einem Bürgerrechtsbeauftragten der US-Nachrichtendienste (Civil Liberties Promotion Officer) geprüft wird. Der Bürgerrechtsbeauftragte ist für die Einhaltung der Privatsphäre und der Grundrechte durch die US-Nachrichtendienste verantwortlich. Im Anschluss an die Überprüfung haben die Betroffenen die Möglichkeit, die Entscheidung des Bürgerrechtsbeauftragten von einem Datenschutzgericht überprüfen zu lassen. Dieses unabhängige Gericht soll Beschwerden untersuchen und gegebenenfalls durch die Anordnung von bestimmten Maßnahmen Abhilfe schaffen. Sofern das Gericht im Rahmen einer Prüfung feststellt, dass eine Datenerhebung oder -verarbeitung gegen die Garantien des Datenschutzrahmens verstößt, kann es Maßnahmen, wie bspw. die Löschung der betreffenden Daten, anordnen.

 

Voraussetzungen für einen datenschutzkonformen Datentransfer in die USA

Im neuen Angemessenheitsbeschluss stellt die EU-Kommission fest, dass für personenbezogene Daten, die an Unternehmen in den USA übermittelt werden, ein angemessenes Datenschutzniveau vorliegt, sofern das empfangende US-Unternehmen erfolgreich an einem Zertifizierungsverfahren gemäß dem neuen Datenschutzrahmen teilgenommen hat.

Durch eine Zertifizierung nach dem DPF verpflichten sich die Unternehmen zur Einhaltung bestimmter datenschutzrechtlicher Pflichten, die sich an den Pflichten aus der europäischen DSGVO orientieren. Darunter fallen beispielsweise die Pflicht zur Einhaltung der Grundsätze der Datensparsamkeit und -minimierung, der Zweckbindung und der Speicherbegrenzung sowie Verpflichtungen im Hinblick auf Datensicherheit und die Gewährleistung des Datenschutzes im Falle der Weitergabe der personenbezogenen Daten an Dritte.

Unternehmen, die zukünftig Daten aus der EU an US-Unternehmen übertragen wollen, müssen daher vorab prüfen, ob eine entsprechende Zertifizierung vorliegt. Hierfür gibt es eine vom US-Handelsministerium bereitgestellte Online-Datenbank mit entsprechender Liste. Liegt eine Zertifizierung nach dem neuen EU-US-Datenschutzabkommen vor, müssen grundsätzlich keine zusätzlichen Datenschutzvorkehrungen getroffen werden. Insbesondere ist der Abschluss von Standardvertragsklauseln nicht mehr zwingend notwendig.

 

Datentransfer an nicht zertifizierte Unternehmen

Sofern ein Datenaustausch mit einem US-Unternehmen stattfindet, das nicht am Zertifizierungsverfahren teilnimmt, bleibt weiterhin der Abschluss von Standardvertragsklauseln und damit auch die Durchführung eines Transfer Impact Assessments erforderlich. Es ist jedoch davon auszugehen, dass die Risikobewertung erleichtert wird, da der Angemessenheitsbeschluss zu einem positiven Ergebnis beiträgt.

Unabhängig davon haben bereits abgeschlossene Standardvertragsklauseln trotz des Angemessenheitsbeschlusses weiterhin bestand.

 

Regelmäßige Überprüfung der Einhaltung des Datenschutzrahmens

Im Angemessenheitsbeschluss ist ferner vorgesehenen, dass die EU-Kommission in Zusammenarbeit mit den Vertretern der europäischen Datenschutzbehörden sowie dem US-Handelsministerium die Einhaltung des Datenschutzrahmens überwachen. Hierzu sollen in regelmäßigen Abständen Überprüfungen stattfinden, wobei die erste innerhalb eines Jahres nach dem Inkrafttreten des Beschlusses erfolgen soll.

 

Kritik

Bereits kurze Zeit nach der Veröffentlichung des Angemessenheitsbeschlusses meldeten sich die ersten Kritiker zu Wort. Max Schrems, der bereits gegen das letzte Datenschutzabkommen erfolgreich vorging, veröffentlichte eine kritische Stellungnahme, in der er ankündigte, den Angemessenheitsbeschluss einer eingehenden Prüfung unterziehen zu wollen. Seiner vorläufigen Auffassung nach handle es sich bei dem neuen Abkommen weitgehend um eine Kopie des gescheiterten Vorgängerabkommens „Privacy Shield“, weshalb auch das „EU-US-Data Privacy Framework“ vor dem EuGH scheitern würde. Vor diesem Hintergrund ist es nicht unwahrscheinlich, dass auch das neue Abkommen dem EuGH zur Prüfung vorgelegt werden wird. Dort müsste dann geprüft werden, ob das neue Abkommen die erforderlichen Änderungen im Vergleich zu den Vorgängerabkommen enthält und ein angemessenes Datenschutzniveau gewährleisten kann.

 

 

Ausblick

Auch wenn es kurze Zeit nach Veröffentlichung viel Kritik gab und der Beschluss sich wahrscheinlich wieder vor dem EuGH wird behaupten müssen, schafft er vorerst Rechtssicherheit. Sofern Unternehmen Daten an US-Unternehmen übertragen wollen, müssen sie nun prüfen, ob eine entsprechende Zertifizierung vorliegt und welche Kategorien von personenbezogenen Daten diese erfasst. Sofern keine Zertifizierung vorliegt oder die relevante Datenart nicht erfasst wird, ist wie bisher der Abschluss der Standardvertragsklauseln erforderlich. Ferner besteht Handlungsbedarf im Hinblick auf die Datenschutzerklärung sowie andere Datenschutzinformationen. Sofern eine Übermittlung personenbezogener Daten auf Grundlage des EU-US- Datenschutzrahmens erfolgt, sind Betroffene davon zu informieren. Eine entsprechende Dokumentation der neuen Rechtsgrundlage sollte auch in das Verzeichnis über die Verarbeitungstätigkeiten aufgenommen werden. Es bleibt abzuwarten, ob das neue Abkommen einer Überprüfung durch den EuGH standhalten wird. Bis auf Weiteres können Unternehmen, zumindest kurz- und mittelfristig, jedoch unter den Voraussetzungen des DPF wieder rechtssicherer personenbezogene Daten an US-Unternehmen übertragen.

 

„>

Kontakt aufnehmen