Datentransfers in die USA nach dem neuen Angemessenheitsbeschluss der Europäischen Kommission
Wir möchten Ihnen hiermit einen kurzen Überblick darüber geben, welche Neuerungen mit dem EU-U.S. Data Privacy Framework (DPF) einhergehen und welche Konsequenzen sich daraus für Ihr Unternehmen ergeben.
Hintergrund
Bei Datenübermittlungen von der EU in die USA ist die Datenschutz-Grundverordnung (DSGVO) anwendbar, die konkrete Anforderungen an Übermittlungen in Gebiete außerhalb des Europäischen Wirtschaftsraums (EWR), sogenannte „Drittländer“, stellt. Eine wichtige Grundlage für Datenübermittlungen in Drittländer sind Angemessenheitsbeschlüsse, die von der Europäischen Kommission erlassen werden, wenn sie entschieden hat, dass das betreffende Drittland ein angemessenes Datenschutzniveau bietet.
Einen solchen Angemessenheitsbeschluss gab es für die USA mit dem „Privacy Shield“-Abkommen, auf das der Austausch personenbezogener Daten zwischen Unternehmen aus der EU und den USA gestützt werden konnte. Mitte 2020 erklärte der EuGH den Angemessenheitsbeschluss nach dem Privacy Shield in seinem „Schrems II“-Urteil jedoch für ungültig, da dieses aus seiner Sicht zu weitgehende Zugriffsrechte für US-Geheimdienste zuließ. Außerdem wurden betroffenen Personen keine angemessenen Rechtsbehelfe für den Fall eines unrechtmäßigen Datenzugriffs durch die Geheimdienste zur Verfügung gestellt.
Nach dem Urteil konnten europäische Unternehmen ihre Datentransfers in die USA nicht mehr auf dieses Abkommen stützen, sodass in der Folge alternative Garantien für die Datenübermittlung eingesetzt werden mussten. In den letzten drei Jahren wurde daher eine rechtmäßige Datenübermittlung in die USA deutlich erschwert. Europäische Unternehmen, die personenbezogene Daten in die USA übermitteln wollten, haben in der Regel sog. Standardvertragsklauseln (SCC) mit den US-amerikanischen Unternehmen abgeschlossen und zusätzlich eine Risikoanalyse in Bezug auf die Datenverarbeitung des US-amerikanischen Unternehmens durchgeführt.
Doch damit soll nun Schluss sein. Die EU und die USA haben ein neues Datenschutzabkommen geschlossen, in denen sich die USA dazu verpflichtet, eine Reihe datenschutzrechtlicher Garantien zu gewährleisten. Im Gegenzug dazu hat die EU-Kommission zugunsten der USA erneut einen Angemessenheitsbeschluss vorgenommen.
Was bedeutet das?
Mit Inkrafttreten des Angemessenheitsbeschlusses am 10. Juli 2023 können personenbezogene Daten aus der EU nun ohne aufwendige Risikoanalyse und Abschluss von Standardvertragsklauseln an Unternehmen in den USA übermittelt werden.
Können personenbezogene Daten jetzt an jedes Unternehmen in den USA datenschutzrechtlich bedenkenlos übermittelt werden?
Nein, nur wenn geprüft wurde, ob das Unternehmen, an das die personenbezogenen Daten übermittelt werden sollen, unter dem DPF zertifiziert ist. Die Überprüfung erfolgt anhand einer vom U.S. Department of Commerce veröffentlichen Liste mit zertifizierten Organisationen.
Der vom Privacy Shield bekannte Zertifizierungsmechanismus wird im Wesentlichen beibehalten, sodass die bereits unter dem Vorgängerabkommen zertifizierten Unternehmen in den USA in aller Regel wieder zertifiziert sein werden. Zudem behält sich die EU-Kommission vor, das Funktionieren des neuen Datenschutzabkommens zwischen der EU und den USA in Zusammenarbeit mit Vertretern der europäischen Datenschutzbehörde und den zuständigen Vertretern der US-Behörden in regelmäßigen Abständen zu überprüfen.
Weitergehende Informationen
Mit dem DPF wurde u. a. eine Beschränkung des Zugriffs auf personenbezogene Daten durch USBehörden, insbesondere der Strafverfolgungsbehörden, vereinbart. Der Zugriff darf von nun an nur noch in dem Maße erfolgen, wie er zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.
Zur Kontrolle soll nunmehr ein unabhängiges Datenschutzprüfungsgericht (Data Protection Review Court – DPRC) Beschwerden von EU-Bürger*innen, deren personenbezogene Daten durch US-Geheimdienste erhoben und verwendet wurden, unabhängig untersuchen und beurteilen. Damit wurde ein unabhängiges und unparteiisches Rechtsbehelfsverfahren für Einzelpersonen geschaffen.
Zusammenfassung
- Die EU und die USA haben ein neues Data Privacy Framework geschlossen, in dem sich die USA verpflichtet hat, datenschutzrechtliche Eingriffe durch staatliche Institutionen zu begrenzen und weitere Garantien für den Schutz personenbezogener Daten zu etablieren.
- Mit der Annahme des Angemessenheitsbeschlusses zugunsten der USA geht nun auch die EU-Kommission davon aus, dass die unter dem DPF zertifizierten Unternehmen ein der EU vergleichbares Datenschutzniveau aufweisen.
- Personenbezogene Daten können nun rechtssicher an die USA übermittelt werden, wenn die US-amerikanischen Organisationen, die die personenbezogenen Daten empfangen, unter dem DPF zertifiziert sind.
- Es müssen keine aufwendigen Risikoanalysen mehr durchgeführt und auch keine Standardvertragsklauseln mehr für die Übermittlung personenbezogener Daten in die USA vereinbart werden.
Ausblick
Neben der fortlaufenden Überprüfung der Funktionsweise des DPF durch die EU-Kommission ist zu erwarten, dass das Abkommen perspektivisch vom EuGH überprüft werden wird. Der Datenschutzaktivist Max Schrems und seine Organisation noyb haben bereits angekündigt, den neuen Angemessenheitsbeschluss vor dem EuGH anzufechten. Aus diesem Grund kann es empfehlenswert sein, auch weiterhin auf alternative Garantien für die Datenübermittlung in die USA (z. B. den Abschluss von SCC) zu setzen und nicht bereits jetzt von einer langfristigen und dauerhaften Sicherheit bei Datentransfers in die USA auszugehen.
Noch Fragen?
Sollten Sie weitergehende Fragen zu dem Thema der Datenübermittlung in die USA haben, steht ihnen unser Team aus Datenschutzexpert*innen zur Verfügung.
Haben Sie Fragen oder weiteren Informationsbedarf?
Autor*innen
Sven Lintzen
Tel: +49 40 288 01 32 97
Charlotte Husemann
Tel: +49 30 208 88 1352
Dies ist ein Beitrag aus unserem Newsletter „Menschen im Unternehmen“ 2-2023. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.