Die Europäische Kommission hat am 10. Juli 2023 mit dem EU-US Data Privacy Framework („DPF“) einen neuen Angemessenheitsbeschluss für den Datenverkehr zwischen der EU und den USA erlassen. Auf dieser Grundlage können ab sofort personenbezogene Daten an US-ansässige Unternehmen, die am DPF teilnehmen, übermittelt werden. Zusätzliche Schutzmaßnahmen oder der Abschluss von Standardvertragsklauseln sind damit im Verhältnis zu solchen zertifizierten US-Unternehmen nicht mehr erforderlich.
Ausgangslage
Mit dem Urteil Schrems II vom 16. Juli 2020 (Az. C-311/18) kippte der Europäische Gerichtshof (EuGH) den damaligen Angemessenheitsbeschluss der Europäischen Kommission zum sogenannten „Privacy Shield“ (vgl. Blogbeitrag von Rechtsanwalt Mark Oliver Kühn vom 17. Juli 2020). Dabei urteilte der EuGH, dass der Privacy Shield nicht dem europäischen Datenschutzniveau und den Anforderungen der DSGVO genüge. Ausreichende Rechtschutzgarantien, wie die Wahrung des Verhältnismäßigkeitsgrundsatzes, Beschränkungen und Grundlagen für Überwachungsmaßnahmen oder auch adäquater Rechtschutz gegen solche Maßnahmen seien im US-Recht nicht ausreichend geregelt. Auch den vom Privacy Shield implementierten Ombudsperson hielt der EuGH nicht für ausreichend, um für adäquaten Rechtschutz zu sorgen. Auch die Wirkung der von der Europäischen Kommission zwischenzeitlich aktualisierten Standardvertragsklauseln schränkte der EuGH ein, so dass sie keine rechtssichere Rechtsgrundlage darstellten. Denn der EuGH gab den EU-Unternehmen auf, in jedem Einzelfall zu prüfen, ob im Drittland angemessene Schutzgarantien für personenbezogene Daten gewährleistet sind. Sowohl der EuGH als auch die Aufsichtsbehörden schoben damit die Verantwortung für den rechtskonformen transatlantischen Datenaustausch den Unternehmen in der EU zu.
Änderungen durch das DPF
Der Angemessenheitsbeschluss schafft Rechtssicherheit für die Unternehmen in der EU. Denn Datenübermittlungen in die USA können ab sofort auf den Angemessenheitsbeschluss gemäß Art. 45 Abs. 3 DSGVO gestützt werden. Das gilt allerdings nur, wenn das US-Unternehmen, an das personenbezogene Daten übermittelt werden sollen, im Wege einer Selbstzertifizierung dem DPF beigetreten ist. Eine Liste mit allen Unternehmen, die dem DPF beigetreten sind, wird in Kürze auf der Website des US-Handelsministeriums veröffentlicht (vgl. https://www.commerce.gov/).
Unternehmen, die nicht dem DPF beigetreten sind, können auch in Zukunft keine Daten auf Basis des Angemessenheitsbeschlusses übermittelt werden. Solche Übermittlungen erfordern – wie bisher – eine andere Rechtsgrundlage, wie beispielsweise Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften (sog. Binding Corporate Rules).
Durch die Zertifizierung unter das DPF verpflichtet sich das datenempfangende US-Unternehmen zur Einhaltung datenschutzrechtlicher Garantien, die denen der DSGVO ähneln (z. B. Zweckbindung, Datenminimierung oder Speicherbegrenzung).
Grundlage für den Angemessenheitsbeschluss sind die von den USA erhöhten Schutzstandards, welche die Einhaltung der Rechte von EU-Bürgern absichern sollen: Die „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities” wurde bereits am 7.10.2022 erlassen. Hiernach sind die US-Geheimdienste vor jedem Datenzugriff zur Prüfung von Erforderlichkeit und Verhältnismäßigkeit verpflichtet. Außerdem wurden zwei Überprüfungsinstanzen geschaffen, an die sich EU-Bürger im Falle einer mutmaßlichen Rechtsverletzung wenden können. Auf erster Ebene steht die Rüge zum Civil Liberties Protection Officer (der Bürgerrechtsbeauftragte der US-Nachrichtendienste) offen. Bleibt eine solche Rüge erfolglos, kann die Entscheidung vom Data Protection Review Court, eines neu eingerichteten unabhängigen Gerichts, überprüft werden. Stellt das Gericht eine Verletzung fest, kann es die Löschung der Daten anordnen. Das Gericht soll gegenüber der im Rahmen des Privacy Shields implementierten Ombudsperson einen höheren Schutzstandard bieten.
Auswirkungen in der Praxis
Für Unternehmen in der EU bedeutet die neue Rechtslage, dass sie prüfen müssen, an welche US-Unternehmen sie Daten übermitteln und ob die Unternehmen dem DPF beigetreten sind. Ist dies der Fall, sollte hierauf in den Datenschutzhinweisen nach Art. 13, 14 DSGVO hingewiesen und der Angemessenheitsbeschluss als Grundlage für den Datentransfer angegeben werden. Daher müssen Unternehmen, die Daten an zertifizierte US-Unternehmen übermitteln und sich auf den Angemessenheitsbeschluss stützen wollen, ihre Datenschutzhinweise gemäß Art. 13, 14 DSGVO anpassen. Auch bestehende Verarbeitungsverzeichnisse mit Datenverkehr in die USA sollten überprüft und angepasst werden.
Unsere Rechtsanwälte Markus Spitz und Magnus Brau sind Ihnen gerne bei allen Fragen zum Datenschutz behilflich und unterstützen bei der Umsetzung der neuen Rechtslage zum Datentransfer in die USA.