Freie Bahn für Datenübertragungen in die USA?

Die europäische Kommission hat am Montag, dem 10. Juli 2023, den lang erwarteten Angemessenheitsbeschluss für die Datenübertragung aus der EU in die USA veröffentlicht. Ob sich dadurch die mehr als zwei Jahre währende Unsicherheit bei der Zusammenarbeit mit US-amerikanischen Unternehmen in Wohlgefallen auflöst, bleibt abzuwarten.

Das EuGH-Urteil vom 16. Juli 2020 und seine Auswirkungen

Der Europäische Gerichtshof (EuGH) hatte im sogenannten "Schrems II"-Urteil im Juli 2020 entschieden, dass der sog. EU-US-Datenschutzschild („Privacy Shield“), der bis dahin in der Praxis als wichtigster Mechanismus für Datenübermittlungen in die USA diente, unwirksam ist (wir berichteten im Datenschutz-Ticker Juli 2020). Seitdem herrschte große Unsicherheit, ob und unter welchen Voraussetzungen Datenübertragungen in die USA noch rechtlich möglich waren. Das Urteil hatte somit weitreichende Auswirkungen auf den transatlantischen Datenaustausch. Dies galt vor allem, aber nicht nur, für die Nutzung beliebter Onliner-Dienste wie Google und Facebook. Der EuGH hatte argumentiert, dass die Datenschutzstandards in den USA insbesondere aufgrund ausufernder Befugnisse der US-Geheimdienste nicht ausreichend seien und dass europäischen Bürgerinnen und Bürgern kein ausreichender Schutz vor staatlicher Überwachung und Datenmissbrauch zukomme. Auch das Fehlen effektiven Rechtsschutzes für EU-Bürgerinnen und -Bürger in den USA im Hinblick auf ihre Datenschutzrechte hatte der EuGH beanstandet.

Die alternative Absicherung der Datenübertragungen etwa durch den Abschluss von sog. Standardvertragsklauseln („SCC“) oder gar durch die Einholung von Einwilligungen für die Datenübertragung in Drittländer, insbesondere die USA, blieben höchst umstritten und bargen stets ein gewisses Risiko, einer gerichtlichen Überprüfung nicht Stand halten zu können oder ein erhebliches Bußgeld durch eine Datenschutzbehörde nach sich zu ziehen.

Der EU-US Data Privacy Framework als Lösung

Nachdem die EU-Kommission und die US-Regierung bereits im März 2022 verlautbaren ließen, sich grundsätzlich auf einen Rechtsrahmen für den transatlantischen Datentransfer geeinigt zu haben, hat die EU-Kommission nun den lange ersehnten Angemessenheitsbeschluss für den EU-US-Data Privacy Framework („Data Privacy Framework“) erlassen. Damit reagiert sie auf die Beanstandungen des EuGH im „Schrems II“-Urteil und bescheinigt den USA erneut, diesmal aber unter bestimmten Voraussetzungen, ein angemessenes Datenschutzniveau im Sinne der DSGVO.

Ähnlich wie schon der frühere „Privacy Shield“ basiert der Data Privacy Framework auf einem System der Zertifizierung. US-Organisationen und Unternehmen können sich zur Einhaltung der sog. EU-US Data Privacy Framework Principles verpflichten, welche sich an den Grundsätzen der DSGVO orientieren, sowie an weiteren Grundsätzen, die vom US-Handelsministerium (Department of Commerce) herausgegeben werden. Das US-Handelsministerium wird auch ähnlich wie beim früheren „Privacy Shield“ eine Liste im Internet veröffentlichen, in der die unter dem Data Privacy Framework zertifizierten Organisationen und Unternehmen aufgeführt werden.

Um sich gemäß dem Data Privacy Framework zu zertifizieren (oder sich jährlich zu rezertifizieren), müssen Organisationen und Unternehmen sich öffentlich zur Einhaltung der o.g. Grundsätze bekennen, ihre Datenschutzrichtlinien verfügbar machen und diese vollständig umsetzen. Im Rahmen ihres Zertifizierungsantrags müssen sie dem US-Handelsministerium diverse weitere Informationen vorlegen. Diese umfassen ihre Organisation, eine Beschreibung der Zwecke, für die personenbezogene Daten verarbeitet werden, die von der Zertifizierung erfassten personenbezogenen Daten sowie die gewählte Überprüfungsmethode, den relevanten unabhängigen Beschwerdemechanismus und schließlich die zuständige Durchsetzungsbehörde.

Organisationen und Unternehmen können erst ab dem Zeitpunkt, an dem sie in die Data Privacy Framework-Liste des US-Handelsministeriums aufgenommen worden sind, personenbezogene Daten auf der Grundlage des Data Privacy Framework erhalten und verarbeiten. Um Rechtssicherheit zu gewährleisten und um zu vermeiden, dass Organisation oder Unternehmen fälschlicherweise behaupten, zertifiziert zu sein, dürfen sie, wenn sie sich erstmals zertifizieren lassen, erst dann öffentlich auf ihre Einhaltung der Grundsätze bzw. ihre Zertifizierung hinweisen, wenn das US-Handelsministerium festgestellt hat, dass der entsprechende Zertifizierungsantrag vollständig ist und die Organisation bzw. das Unternehmen zur Liste hinzugefügt wurde. Um sich weiterhin auf den Data Privacy Framework als Transfermechanismus berufen zu können, muss eine jährliche Rezertifizierung durchgeführt werden.

Was müssen Unternehmen in der EU beachten?

Die bloße Existenz des Angemessenheitsbeschluss bzw. des Data Privacy Framework bedeutet leider noch nicht, dass in der EU bzw. im EWR ansässige Unternehmen nun unmittelbar ihre Datenübertragungen auf diesen stützen können. Denn zunächst muss die Zertifizierung des jeweiligen US-Unternehmens, an welches die Daten übermittelt werden sollen, erfolgt sein und dieses in der Data Privacy Framework-Liste veröffentlicht werden. Dies dürfte noch ein wenig Zeit in Anspruch nehmen, da die US-Unternehmen zunächst die oben beschriebenen Grundsätze umsetzen und Vorgaben einhalten müssen.

Wenn es so weit ist, müssen ggf. die Datenschutzerklärungen der Daten übermittelnden Unternehmen angepasst werden, da diese sich bezüglich der Datenübertragung in die USA bislang auf andere Mechanismen als den Angemessenheitsbeschluss berufen dürften. Die Datenschutzerklärung muss bei Datenübertragungen in Drittländer jedoch stets das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission erwähnen (Art. 13 Abs. 1 lit. f) DSGVO).

Fazit und Ausblick

Der Angemessenheitsbeschluss der EU-Kommission beendet zunächst eine lange Periode der Rechtsunsicherheit für die Übertragung von personenbezogenen Daten in die USA. Sofern die oben beschriebenen Voraussetzungen erfüllt sind, dürfte der Beschluss in der Praxis zu erheblichen Vereinfachungen bei der rechtlichen Bewertung und Durchführung von rechtmäßigen US-Datentransfers führen. Der Data Privacy Framework hat aber auch unmittelbar harsche Kritik erfahren, weil er angeblich zu wenig von dem bereits vor dem EuGH gescheiterten Privacy Shield abweiche und daher keinen echten Schutz für die personenbezogenen Daten von EU-Bürgerinnern und -Bürgern in den USA biete. Es bleibt also abzuwarten, wie lange dieses Abkommen diesmal Bestand hat. Vorerst heißt es jedoch für viele in der EU bzw. dem EWR ansässige Unternehmen, die regelmäßig Daten in die USA übertragen wollen oder müssen: Aufatmen!

Fabian Eckstein