Nach langer Anlaufzeit war es am 10.07.2023 endlich so weit. Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss für die USA verabschiedet. Die beiden vorangegangenen Datenschutzabkommen mit den USA, das Safe Harbor-Abkommen und das EU-US Privacy Shield, waren beide durch Klagen des österreichischen Datenschutzaktivisten Max Schrems vor dem Europäischen Gerichtshof (EuGH) gescheitert. Das Data Privacy Framework stellt somit den dritten Versuch der Europäischen Kommission dar, die Übermittlung personenbezogener Daten in die USA auf rechtssichere Beine zu stellen.
Wie der neue Angemessenheitsbeschluss funktioniert, was sich im Vergleich zum Privacy-Shield ändert und was das Ganze für Unternehmen bedeutet, erfahren Sie in diesem Blogbeitrag.
Grundlagen der Drittlandübermittlung
Sofern personenbezogene Daten, die im Anwendungsbereich der DSGVO verarbeitet werden, in ein Land außerhalb des Europäischen Wirtschaftsraums übermittelt werden, sind die besonderen Vorgaben der Art. 44 ff. DSGVO zu beachten. Der für Unternehmen bequemste und rechtssicherste Mechanismus ist der Angemessenheitsbeschluss nach Art. 45 DSGVO.
Nach Art. 45 Abs. 1 DSGVO kann die Europäische Kommission nämlich beschließen, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland ein angemessenes Schutzniveau bieten. Dies hat die Europäische Kommission für die USA nun zum dritten Mal getan.
In welchen Fällen greift der neue Angemessenheitsbeschluss?
Der Angemessenheitsbeschluss für die USA weist die Besonderheit auf, dass dieser nicht für alle Datenübermittlungen in die USA gilt. Stattdessen müssen sich Unternehmen zur Einhaltung bestimmter Datenschutzgrundsätze verpflichten und sich nach dem EU-US Data Privacy Framework zertifizieren. Alle Unternehmen, die sich selbst haben zertifizieren lassen, können in einer Liste auf der gemeinsamen Website des US-Handelsministeriums und der Internationalen Handelsbehörde der USA eingesehen werden.
Bei der Zertifizierung wird zwischen „Non-HR-Data“ und „HR-Data“ unterschieden. „HR-Data“ bezieht sich dabei auf personenbezogene Daten von Beschäftigten der eigenen Organisation. Konzerne, deren US-Unternehmen sich für „HR-Data“ haben zertifizieren lassen, dürfen demnach auf Grundlage des Data Privacy Frameworks Beschäftigtendaten an das US-Unternehmen übermitteln. „Non-HR-Data“ steht dagegen für alle anderen personenbezogenen Daten. Europäische Unternehmen, die im Rahmen der Zusammenarbeit mit einem US-Unternehmen personenbezogene Daten in die USA übermitteln wollen, sollten somit prüfen, ob das Unternehmen über eine Zertifizierung für „Non-HR-Data“ verfügt.
Was ist, wenn der neue Angemessenheitsbeschluss nicht greift?
Datenübermittlungen an US-Unternehmen, die über keine Zertifizierung verfügen, können nicht auf den Angemessenheitsbeschluss gestützt werden. In solchen Fällen muss also auf die anderen Transfermechanismen der Art. 44 ff. DSGVO zurückgegriffen werden. Zumeist dürfte dann der Abschluss von EU-Standardvertragsklauseln und die Durchführung eines Transfer Impact Assessments (TIA) erforderlich sein.
Da davon auszugehen ist, dass sich die bekannten US-Unternehmen zertifizieren lassen werden, dürfte dies allerdings die Ausnahme darstellen.
Was ändert sich im Vergleich zu den vorherigen Angemessenheitsbeschlüssen?
Für Unternehmen ändert sich im Vergleich zu den vorherigen Angemessenheitsbeschlüssen eher wenig. Bereits unter dem Safe Harbor-Abkommen und dem EU-US Privacy Shield war eine Selbstzertifizierung erforderlich. Viele Unternehmen haben ihre Zertifizierung nach dem Privacy Shield sogar aufrechterhalten und konnten diese nun ohne großen Aufwand in eine Zertifizierung nach dem neuen Data Privacy Framework umwandeln.
Die Unterschiede betreffen vielmehr die rechtlichen Rahmenbedingungen in den USA. Die Kritik, die der EuGH an den letzten beiden Angemessenheitsbeschlüssen anführte, betraf nämlich überwiegend die aus europäischer Sicht zu weitreichenden Befugnisse der US-Sicherheitsbehörden. Um dieser Kritik zu begegnen, hat US-Präsident Joe Biden im Oktober 2022 eine Executive Order erlassen, mit der die US-Geheimdienste angewiesen werden, ihre Datenzugriffe auf ein verhältnismäßiges Maß zu beschränken.
Neu ist ebenfalls die Einrichtung eines zweistufigen Rechtsbehelfssystems. In der EU ansässige Personen haben die Möglichkeit, über europäische Aufsichtsbehörden Beschwerden einzureichen, die dann vom Civil Liberties Protection Officer (CLPO) bearbeitet werden. Als zweite Stufe besteht die Möglichkeit, gegen Entscheidungen des CLPO vor einem eigens begründeten Gericht Klage zu erheben.
Was sollten Unternehmen jetzt tun?
Europäische Unternehmen sollten mit Hilfe der Liste prüfen, ob die US-Unternehmen, an die sie personenbezogene Daten übermitteln, über eine Zertifizierung nach dem Data Privacy Framework verfügen. Ist das nicht der Fall, ist sicherzustellen, dass ein anderer Transfermechanismus nach den Art. 44 ff. DSGVO für die Übermittlung vorliegt. Der jeweilige Transfermechanismus ist darüber hinaus bei den Informationspflichten der Art. 13 und 14 DSGVO sowie bei der Beantwortung von Auskunftsanfragen nach Art. 15 DSGVO zu beachten. Zudem ist zu empfehlen, das Bestehen des Angemessenheitsbeschlusses, z.B. im Verzeichnis von Verarbeitungstätigkeiten, intern zu dokumentieren.
Haben Unternehmen jetzt endlich dauerhafte Rechtssicherheit?
Mit dem neuen Angemessenheitsbeschluss ist für europäische Unternehmen eine spürbare Erleichterung eingetreten. Angesichts der beiden gescheiterten Vorgänger des Data Privacy Frameworks stellt sich allerdings die Frage, ob und wie lange der Angemessenheitsbeschluss Bestand haben wird. Geht es nach dem Datenschutzaktivisten Max Schrems und seiner Organisation NOYB, die bereits Safe Harbor und das Privacy Shield zu Fall gebracht haben, wird auch das Data Privacy Framework nicht von Dauer sein.
Bereits am Tag der Verabschiedung kündigte NOYB an, das Data Privacy Framework dem EuGH vorzulegen. Nach Ansicht von NOYB handelt es sich bei dem neuen Angemessenheitsbeschluss lediglich um eine Kopie des letzten Angemessenheitsbeschlusses, da keine nennenswerten datenschutzrechtlichen Verbesserungen erreicht worden seien. Dies macht NOYB unter anderem daran fest, dass die amerikanischen Überwachungsgesetzte (insbesondere FISA 702) unverändert fortgelten. NOYB geht davon aus, dass in ein bis zwei Jahren Klarheit über den Fortbestand des Data Privacy Frameworks herrschen wird.
Europäische Unternehmen können sich somit erstmal nur für eine gewisse Zeit auf den Angemessenheitsbeschluss verlassen. Um im Falle eines Wegfalls des Angemessenheitsbeschlusses nicht vollkommen blank dazustehen, sollten Unternehmen trotz Anwendbarkeit des Angemessenheitsbeschlusses Standardvertragsklauseln mit US-Unternehmen vereinbaren. Dann ist jedoch vertraglich zu regeln, dass die Standardvertragsklauseln nur für den Fall gelten, dass kein Angemessenheitsbeschluss greift.
Fazit der Datenschutzkanzlei
Kaum ein datenschutzrechtliches Thema hat Unternehmen in den vergangenen Jahren vor solche Hürden gestellt, wie die Problematik des US-Drittlandtransfers. Aus Unternehmenssicht ist der neue Angemessenheitsbeschluss daher sehr zu begrüßen. Die Problematik ist damit aber nicht gänzlich vom Tisch. Zum einen greift der Angemessenheitsbeschluss nicht immer. Zum anderen ist unklar, ob der Angemessenheitsbeschluss einer Überprüfung des EuGHs standhält. Wenn Sie Fragen zur rechtssicheren Gestaltung von Datenübermittlungen in die USA haben, stehen wir Ihnen gerne beratend zur Verfügung.
Simeon Boltjes, LL.M. ist Wirtschaftsjurist und Legal Consultant bei der Datenschutzkanzlei.