EU-US Data Privacy Framework: Was Datenexporteure beachten müssen

Inhaltsverzeichnis

Die Datenschutz-Grundverordnung (DSGVO) sieht ein hohes Schutzniveau für personenbezogene Daten vor und gilt in den EU-Mitgliedstaaten sowie in den EWR-Staaten Island, Liechtenstein und Norwegen. Damit Verantwortliche die strengen Vorgaben der DSGVO nicht durch Datenexporte in Drittländer, also Länder außerhalb der EU und des EWR, umgehen können, enthält die DSGVO besondere Voraussetzungen für solche Drittlandübermittlungen. Als eine Möglichkeit sieht Art. 45 DSGVO eine Drittlandsübermittlung auf der Grundlage eines Angemessenheitsbeschlusses der EU-Kommission vor. Diese kann durch Beschluss feststellen, dass ein Drittland ein angemessenes Schutzniveau bietet. Liegt ein solcher Angemessenheitsbeschluss vor, ist die Drittlandsübermittlung grundsätzlich zulässig.

Drittlandsübermittlungen in die USA

In Bezug auf die USA existierten bereits zwei Angemessenheitsbeschlüsse, die der Europäischen Gerichtshof (EuGH) jeweils, insbesondere im Hinblick auf die weitreichenden Befugnisse der US-Nachrichtendienste, für ungültig erklärt hat. Seit der Schrems-II-Entscheidung des EuGH standen Datenexporteure, die personenbezogene Daten in die USA übermitteln, vor erheblichen Herausforderungen. Um die daraus resultierende Rechtsunsicherheit zu beseitigen, haben sich die EU und die USA auf das EU-US Data Privacy Framework geeinigt. Auf dessen Grundlage hat die EU-Kommission einen neuen Angemessenheitsbeschluss erlassen, der am 10. Juli 2023 in Kraft getreten ist und auf dessen Grundlage Datenübermittlungen in die USA erfolgen können.

Auch wenn der neue Angemessenheitsbeschluss der EU-Kommission zu einer deutlichen Vereinfachung führt, sind bei Drittlandsübermittlungen in die USA weiterhin besondere Voraussetzungen zu beachten. Vor diesem Hintergrund hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) nun Anwendungshinweise zum Angemessenheitsbeschluss der EU-Kommission für die USA veröffentlicht, die Datenexporteure als Orientierungshilfe für die eigene Drittlandsübermittlung in die USA heranziehen können.

Anwendungshinweise der DSK

Die DSK betont darin, dass der Angemessenheitsbeschluss lediglich sektoraler Natur ist. Der Beschluss umfasst nicht alle Datenübermittlungen in die USA, sondern nur solche, deren Empfänger zertifizierte US-Unternehmen sind. US-Unternehmen können sich beim Department of Commerce (DOC) zertifizieren lassen, das die Einhaltung der Vorgaben überprüft. Ist die Prüfung erfolgreich, werden die US-Unternehmen in die Data Privacy Framework List aufgenommen. Ab diesem Zeitpunkt können Unternehmen personenbezogene Daten in die USA übermitteln.

Datenexporteure müssen also zunächst sicherstellen, dass der konkrete Empfänger in den USA tatsächlich auf der Liste steht. Darüber hinaus ist eine jährliche Rezertifizierung erforderlich. Datenexporteure in der EU müssen daher regelmäßig prüfen, ob die Zertifizierung noch besteht. Für Beschäftigtendaten ist eine explizite Zertifizierung erforderlich, die die Liste des DOC ebenfalls enthält.

Zweistufige Prüfung der Rechtmäßigkeit

Die DSK sieht in ihren Anwendungshinweisen eine zweistufige Prüfung der Rechtmäßigkeit der Drittlandsübermittlung vor. Datenexporteure müssen für die Verarbeitung personenbezogener Daten zunächst die allgemeinen Rechtmäßigkeitsvoraussetzungen der DSGVO einhalten (Stufe 1). Insbesondere muss eine Rechtsgrundlage für die Verarbeitung vorliegen und die Drittlandsübermittlung auf Grundlage des Data Privacy Frameworks in der Datenschutzinformation explizit aufgeführt werden. Zudem müssen Datenexporteure auch die diversen Betroffenenrechte aus Kapitel 3 der DSGVO gewährleisten. Zusätzlich hierzu sind sodann die Voraussetzungen der DSGVO für eine zulässige Drittlandsübermittlung einzuhalten und ausreichend zu dokumentieren (Stufe 2).

Zentraler Kritikpunkt des EuGH an den bisherigen Angemessenheitsbeschlüssen war das Fehlen wirksamer Rechtsbehelfsmechanismen. Das Data Privacy Framework sieht nun Beschwerdemöglichkeiten vor, die zertifizierte US-Unternehmen in den USA beziehungsweise der EU bereitstellen müssen. US-Unternehmen können dieser Verpflichtung auch dadurch nachkommen, dass sie sich freiwillig zur Zusammenarbeit mit den EU-Datenschutzaufsichtsbehörden verpflichten. Dabei müssen zertifizierte US-Unternehmen sowohl eigene Rechtsbehelfsmechanismen einrichten als auch über eine weitere unabhängige Beschwerdestelle in ihrer Datenschutzinformation informieren. Über weitere zur Verfügung stehende Rechtsbehelfe informiert zudem das DOC im Rahmen des Data Privacy Framework Program.

Fazit

Der neue Angemessenheitsbeschluss führt zu mehr Rechtssicherheit. Die DSK weist jedoch darauf hin, dass eine Drittlandsübermittlung in die USA nicht ohne vorherige Prüfung zulässig ist. Datenexporteure haben die Einhaltung der allgemeinen Vorgaben der DSGVO sicherzustellen und die besonderen Anforderungen des Data Privacy Frameworks zu beachten. Insbesondere müssen sie vor der Drittlandsübermittlung prüfen, ob die US-Datenimporteure zertifiziert sind. Darüber hinaus weist die DSK auf die Möglichkeit einer erneuten Aufhebung des Angemessenheitsbeschlusses durch den EuGH hin. Der französische Parlamentarier Philippe Latombe hat als Privatperson bereits Klage gegen den Angemessenheitsbeschluss beim EuGH eingereicht. Auch der Verein NOYB hat schon angekündigt, gegen den Angemessenheitsbeschluss vorgehen zu wollen. Zwar gilt eine Aufhebung nicht rückwirkend, allerdings sollten Datenexporteure, für die der Datentransfer in die USA existenziell ist, Notfallpläne bereithalten, um im Falle einer erneuten Aufhebung durch den EuGH gewappnet zu sein.

Weitere Informationen:

• Die Anwendungshinweise der DSK zum EU-US Data Privacy Framework

(jvo)