Übermittelt ein Unternehmen personenbezogene Daten von in der EU ansässigen Nutzern in Drittländer, muss sichergestellt sein, dass dort ein mit der Europäischen Union vergleichbares Schutzniveau für personenbezogene Daten besteht. Dies kann durch den Erlass eines sogenannten Angemessenheitsbeschlusses der EU-Kommission für Drittländer gewährleistet werden.
Im Datenverkehr zwischen der EU und den USA gab es in den letzten Jahren jedoch Bedenken hinsichtlich des von der US-Regierung und den umfassenden Zugriffsrechten der Geheimdienste gebotenen Datenschutzniveaus. Aus diesem Grund erklärte der Europäische Gerichtshof 2015 und 2020 die bestehenden Angemessenheitsbeschlüsse für ungültig. Er entschied, dass die Daten von EU-Bürgern nicht angemessen vor Überwachungsmaßnahmen der USA geschützt seien.
Am 10. Juli 2023 wurde auf Grundlage des neuen EU-US-Datenschutzrahmens (EU-US Data Privacy Framework, DPF) ein Angemessenheitsbeschluss veröffentlicht, der nunmehr als Grundlage für die Übermittlung personenbezogener Daten in die USA dienen kann. Die US-Unternehmen, die die Datenschutzvorgaben einhalten, haben die Möglichkeit sich zertifizieren zu lassen. Damit europäische Unternehmen schnell einen Überblick darüber erhalten können, wer die Standards einhält und wer nicht, betreibt das US-Handelsministerium eine Webseite, über die schnell und einfach eine Liste der zertifizierten Unternehmen einsehbar ist.
Das Wichtigste in Kürze
- Damit ein US-Unternehmen als sicherer Datenempfänger gilt und das Data Privacy Framework einhält, muss es erfolgreich ein Selbstzertifizierungsverfahren durchlaufen.
- Die Zertifizierung ist freiwillig und erfolgt über eine neu erstellte Website.
- Europäische Datenexporteure können vor der Übermittlung prüfen, ob der US-Datenempfänger zertifiziert ist.
- Bei Datenübermittlungen auf Basis des Angemessenheitsbeschlusses müssen die Datenschutzinformationen entsprechend angepasst werden.
Datentransfer mit zertifizierten US-Unternehmen jetzt möglich
Die International Trade Administration (ITA), eine Abteilung des US-amerikanischen Handelsministeriums, hat eine wegweisende Entwicklung bekanntgegeben, die den Datentransfer zwischen der Europäischen Union und den USA deutlich vereinfacht. Berechtigte Organisationen mit Sitz in den USA haben nun die Möglichkeit, ihre Konformität mit dem EU-US Data Privacy Framework (DPF) zu zertifizieren.
Die Zertifizierung erfolgt über die Website des Handelsministeriums, auf welcher alle notwendigen Informationen und Anleitungen für den Prozess bereitgestellt werden.
Sobald ein Unternehmen die freiwillige Zertifizierung durchführt, verpflichtet es sich, die Grundsätze des EU-US Data Privacy Frameworks einzuhalten. Dies umfasst den Schutz personenbezogener Daten, die Transparenz im Umgang mit Daten und die Einhaltung der Datenschutzstandards, die von der Europäischen Union festgelegt wurden.
Eine wichtige Neuerung ist, dass die Selbstzertifizierung nach US-Recht rechtlich bindend ist. Das bedeutet, dass Unternehmen, die sich öffentlich zur Einhaltung der DPF-Grundsätze verpflichten, dafür im Zweifelsfall auch gerichtlich in Anspruch genommen werden können. Dies stärkt die Durchsetzbarkeit und Glaubwürdigkeit des Datenschutzrahmens.
Für Unternehmen, die derzeit noch eine aktive Privacy Shield-Zertifizierung besitzen, besteht die Möglichkeit, ihre Zertifizierung an die neuen Anforderungen des DPF anzupassen, um weiterhin zertifiziert zu bleiben. Hierfür wurde eine Übergangsfrist von drei Monaten eingeräumt, um die notwendigen Anpassungen vorzunehmen und einen nahtlosen Übergang zu gewährleisten.
Vorgehen für Unternehmen und Websitebetreiber in der EU
Für Unternehmen und Websitebetreiber in der Europäischen Union, die personenbezogene Daten im Rahmen des Angemessenheitsbeschlusses in die USA übermitteln möchten, ist ein bestimmtes Vorgehen erforderlich, um die Datenschutzstandards zu gewährleisten und die rechtmäßige Datenübermittlung zu ermöglichen.
Zunächst müssen Europäische Datenexporteure vor der Übermittlung auf der Website der Datenschutzbehörde prüfen, ob der US-Datenempfänger zertifiziert ist. Es ist wichtig, dass die Datenübermittlung nur an zertifizierte US-Unternehmen erfolgt, um ein angemessenes Schutzniveau gewährleisten zu können.
Darüber hinaus ist es von Bedeutung zu prüfen, ob die geplante Datenübermittlung von der Zertifizierung des Datenempfängers abgedeckt ist. Nicht alle Arten von Datenübermittlungen sind automatisch durch die Zertifizierung abgesichert, daher ist eine genaue Prüfung erforderlich.
Wenn eine Datenübermittlung auf den neuen Angemessenheitsbeschluss gestützt werden soll, müssen die Datenschutzinformationen entsprechend angepasst werden. Die Datenschutzhinweise müssen klar verständlich und transparent sein, um die Nutzer über die Datenübermittlung zu informieren.
Für Unternehmen, die zuvor bereits Standardvertragsklauseln (SCC) als Instrument der rechtssicheren Datenübermittlung mit dem US-Dienstleister vereinbart haben, können und sollten diese Klauseln weiterhin einbezogen werden. Die SCCs bieten zusätzliche Sicherheit und gewährleisten eine rechtskonforme Datenübermittlung. Außerdem kann so ein mögliches erneutes Kippen des Angemessenheitsbeschluss bereits abgesichert werden.
Standardvertragsklauseln und Transfer Impact Assessment (TIA)
In der Vergangenheit war es für Unternehmen, die Verträge mit Dienstleistern in den USA abschließen wollten, unerlässlich, die von der Europäischen Union bereitgestellten Standardvertragsklauseln (SCC) zu verwenden und ein Transfer Impact Assessment (TIA) durchzuführen. Diese Maßnahmen waren notwendig, um eine eigene Bewertung des Schutzniveaus für die Datenübermittlung vorzunehmen und sicherzustellen, dass angemessene technische und organisatorische Maßnahmen ergriffen wurden, um den Schutz der personenbezogenen Daten der Endbenutzer zu gewährleisten. Die Kombination aus Standardvertragsklauseln und TIA bildete somit die Grundlage für die meisten Datentransfers in die USA.
An sich hat sich diese Situation mit der Einführung des EU-US Data Privacy Frameworks geändert. Es ist nun möglich den Datentransfer in die USA auf eine einfachere und rechtsverbindlichere Weise zu gestalten. Unternehmen müssen nicht mehr zwangsläufig auf die Standardvertragsklauseln und das Transfer Impact Assessment zurückgreifen, solange der Datenempfänger in den USA ansässig ist und sich einer Zertifizierung nach dem DPF unterzogen hat.
Durch die Zertifizierung des US-Datenempfängers wird formal sichergestellt, dass er die Datenschutzgrundsätze des DPF einhält und somit ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet ist. Unternehmen können sich somit auf die Zertifizierung verlassen, um einen rechtssicheren Datentransfer zu ermöglichen, ohne die zusätzlichen Schritte der Standardvertragsklauseln und des Transfer Impact Assessments durchführen zu müssen.
Es ist jedoch wichtig zu betonen, dass wenn sich der US-Datenempfänger der Zertifizierung nach dem DPF nicht unterzieht, weiterhin die bisherigen Regelungen gelten. In diesem Fall sind die Verwendung von Standardvertragsklauseln und die Durchführung eines Transfer Impact Assessments nach wie vor erforderlich, um die Datenschutzstandards zu gewährleisten. Außerdem sollte soweit möglich auch trotz Angemessenheitsbeschlusses auf Standardvertragsklauseln nicht verzichtet werden, um langfristig datenschutzkonform aufgestellt zu sein.
Ausblick
Insgesamt erleichtert das EU-US Data Privacy Framework (DPF) den Datentransfer zwischen der EU und den USA erheblich, indem es eine klare und verlässliche Grundlage für die Übermittlung personenbezogener Daten schafft. Auch wenn die lang ersehnte Regelung zur Datenübermittlung in die USA jetzt da ist, bleibt abzuwarten, ob der Angemessenheitsbeschluss auch langfristig Rechtssicherheit bringen wird. Insbesondere der Datenschutzaktivist Max Schrems, der für die beiden Entscheidungen des EuGH, die zur Verwerfung der Angemessenheitsbeschlüsse geführt haben, verantwortlich ist, hat angekündigt, erneut vor dem EuGH zu klagen. Bis zu einer Entscheidung des EuGH bleiben daher gewisse Vorbehalte und Unsicherheiten im Hinblick auf den Angemessenheitsbeschluss bestehen.
„>