Datenübermittlung in die USA – EU-U.S. Data Privacy Framework


Für Datentransfers in Drittstaaten gelten strenge Voraussetzungen. Nach zwei gescheiterten Anläufen gibt es nun im Datenverkehr mit den Vereinigten Staaten von Amerika (USA) einen Datenpakt: das EU-U.S. Data Privacy Framework. Dazu hat die Kommission der Europäischen Union (EU) einen Angemessenheitsbeschluss gefasst, der mehr Rechtssicherheit und Klarheit für den Verkehr mit Daten mit den USA bringt. Andere Drittstaaten sind von diesem Beschluss nicht betroffen.
Werden personenbezogene Daten in Drittstaaten übermittelt, müssen die folgenden beiden Voraussetzungen gegeben sein:
  • Rechtsgrundlage für die Datenverarbeitung
  • Angemessene Garantie für ein gleichwertiges Datenschutzniveau im Drittstaat, zum Beispiel Angemessenheitsbeschluss, Standarddatenschutzklauseln (SCC), Binding Corporate Rules (BCR), Ausnahmen nach Artikel 49 Absatz 1 Datenschutzgrundverordnung (DSGVO).

Datentransfer in die USA - Neu: EU-U.S. Data Privacy Framework

Unternehmen bekommen für Datentransfers in die USA ab sofort mehr Rechtssicherheit. Die EU-Kommission hat am 10. Juli 2023 den neuen Angemessenheitsbeschluss EU-U.S. Data Privacy Framework angenommen. Dieser dient nunmehr als Grundlage für Datenübermittlungen in die USA unter folgenden Voraussetzungen:
Mit dem Angemessenheitsbeschluss können ab sofort global hierauf gestützt personenbezogene Daten aus der EU in die USA übermittelt werden, ohne dass weitere Übermittlungsinstrumente (zum Beispiel SCC oder BCR) oder zusätzliche Maßnahmen erforderlich sind. Im Gegensatz dazu sind SCC für jeden Einzelfall einer Datenübermittlung gesondert abzuschließen.
Voraussetzung ist, dass die US-Unternehmen, an die übermittelt werden soll, auch unter dem EU-U.S. Data Privacy Framework zertifiziert sind.
Viele große US-Unternehmen haben angekündigt, sich freiwillig nach diesem neuen Angemessenheitsbeschluss zertifizieren zu lassen. Das U.S. Department of Commerce veröffentlicht eine entsprechende Liste, anhand welcher überprüft werden kann, ob die betreffende Organisation zertifiziert ist. Die US-amerikanische Federal Trade Commission wird die Einhaltung der Vorschriften durch US-Unternehmen durchsetzen.
Einige Unternehmen sind offenbar bereits zertifiziert, darunter auch Global Player wie Microsoft.

Wie geht es weiter?

Datentransfers gestützt auf den neuen Angemessenheitsbeschluss von der EU in die USA sind nur zu US-Unternehmen möglich, die sich freiwillig nach dem Angemessenheitsbeschluss zertifiziert haben. Es ist davon auszugehen, dass die Zertifizierung rasch erfolgen und die Liste aufgebaut werden wird..
Künftig wird dieser Angemessenheitsbeschluss alle Datenübermittlungen von der EU an freiwillig zertifizierte US-Unternehmen rechtfertigen. Denn er ist nach DSGVO eine Garantie dafür, dass in diesen zertifizierten US-Unternehmen ein nach DSGVO-Standards angemessenes Datenschutzniveau besteht.
Zudem muss eine Rechtsgrundlage für die Datenübermittlung erforderlich sein, zum Beispiel Artikel 6 Absatz 1 Buchstabe b DSGVO, wenn die Übermittlung dieser personenbezogenen Daten für die Erfüllung eines Vertrages erforderlich ist.
Bis dahin ist ein Datentransfer in die USA weiterhin rechtlich an den Erfordernissen zu prüfen, die für Drittstaaten ohne Angemessenheitsbeschluss gelten.
Bitte beachten Sie: Das Data Privacy Framework beschäftigt sich ausschließlich mit dem Datentransfer. Es stellt ein Instrument der DSGVO dar, das Drittstaatentransfers in die USA im beschriebenen Umfang legitimiert. Andere Datenschutzthemen wie Tracking sind darin nicht behandelt, sondern gesondert zu prüfen.

Vorgeschichte

Mit Urteil vom 16. Juli 2020 (Rechtssache C-311/18, Schrems II) hatte der EuGH den Angemessenheitsbeschluss der EU-Kommission zur Datenübermittlung in die USA (sogenanntes „Privacy Shield Abkommen“) für ungültig erklärt. Damit mussten die Unternehmen ihre Datenübermittlung in die USA auf neue Rechtsgrundlagen stellen, zum Beispiel auf die sogenannten Standardvertragsklauseln, die die Europäische Kommission 2021 neu gefasst hat.
Nach dem Scheitern von „Safe Harbour“ und „Privacy Shield“ ist dies nun der dritte Versuch, einen sicheren Rechtsrahmen für eine Datenübermittlung in die USA durch Angemessenheitsbeschluss zu schaffen. Die Kommission ist zuversichtlich, dass dieser neue Versuch einer rechtlichen Überprüfung durch den EuGH auch standhalten wird.
Ob das der Fall sein wird, bleibt allerdings abzuwarten. Denn Max Schrems hat bereits angekündigt, auch gegen diesen Angemessenheitsbeschluss zu klagen.

Quelle: IHK Regensburg für Oberpfalz/Kelheim, Stand: Juli 2023