Startseite Recht Datenübertragungen in die USA

Datenübertragungen in die USA

Das neue EU-U.S. Data Privacy Framework soll Rechtssicherheit für die Übertragung von Daten in die USA schaffen

by Redaktion

Die Europäische Kommission hat am 10. Juli 2023 ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA (englisch „EU-U.S. Data Privacy Framework“ oder kurz „DPF“) angenommen. Danach gewährleisten die Vereinigten Staaten im Verhältnis zur EU ein angemessenes Schutzniveau für personenbezogene Daten, die aus der EU an US-Unternehmen übermittelt werden. Voraussetzung ist, dass die US-Unternehmen am DPF teilnehmen. Wie es dazu kam und was bei der Datenverarbeitung in den USA zu beachten ist, stellen wir in diesem Artikel vor.

Hintergrund

Die Übermittlung von personenbezogenen Daten in Länder außerhalb der EU (sogenannte Drittstaaten) ist nach der Datenschutzgrundverordnung („DSGVO“) nur zulässig, wenn die beteiligten Unternehmen die in ihren Details durchaus komplexen Anforderungen der DSGVO an internationale Datentransfers einhalten. Hierfür bietet die DSGVO mehrere Möglichkeiten. Zum einen kann die EU-Kommission per Angemessenheitsbeschluss feststellen, dass in einem Drittstaat ein angemessenes Datenschutzniveau herrscht (z. B. Schweiz oder Japan). Zum anderen kann die EU-Kommission sogenannte Standarddatenschutzklauseln (englisch „Standard Contractual Clauses“ oder kurz „SCC“) erlassen. Wenn die Vertragsparteien die von der EU-Kommission erlassenen SCC unverändert vereinbaren und zusätzlich eine Transferfolgenabschätzung vornehmen (englisch „Transfer Impact Assessment“ oder kurz „TIA“), ist die Übermittlung personenbezogener Daten an den Vertragspartner zulässig. Die DSGVO bietet noch weitere geeignete Garantien, die in der Praxis aber weitaus weniger verbreitet sind.

In unserer globalisierten Welt sind elektronische Kommunikation und Marketing-Tools ohne Datenverarbeitung in den USA kaum noch denkbar. Insbesondere der Trend zum Ausführen von Software in der Cloud (SaaS), statt auf dem eigenen Rechner führt oft zur Datenübermittlung in die USA. Einen Angemessenheitsbeschluss für die gesamten USA gibt es nicht und wird es aufgrund der dortigen nachrichtendienstlichen Aktivitäten auf absehbare Zeit wohl auch nicht geben. Deshalb verwundert es nicht, dass die EU und die US-Regierung in der Vergangenheit immer wieder Wege suchten, den Unternehmen eine Verarbeitung personenbezogener Daten in den USA mit möglichst kleinem Umsetzungsaufwand zu ermöglichen.

Ohne auf die Geschichte im Detail einzugehen, beruhten diese vereinfachten Datenübertragungsmechanismen (2000: Safe Harbor, 2016: EU-U.S. Privacy Shield) im Wesentlichen darauf, dass die US-Regierung datenschutzrechtliche Regeln aufstellte. Unternehmen, die sich zur Einhaltung der Regeln verpflichteten, nahm die US-Regierung in eine öffentlich einsehbare Liste auf. Daten aus der EU durften an diese Unternehmen übermittelt werden. Der Europäische Gerichtshof („EuGH“) hat in zwei folgenschweren Urteilen (2015: Schrems I; 2020: Schrems II) jeweils im Wesentlichen entschieden, dass die Regeln, unter denen sich die US-Unternehmen selbst zertifizierten, für ein angemessenes Datenschutzniveau nicht ausreichten.

Seit der Schrems-II-Entscheidung 2020 waren Unternehmen insbesondere auf die Verwendung von SCC samt Durchführung einer TIA angewiesen, wenn sie personenbezogene Daten in die USA übermitteln wollten. Das war aufwendig und nicht immer rechtssicher, weil manche europäische Datenschutzbehörden SCC im Falle der USA für nicht ausreichend hielten.

Das neue EU-U.S. Data Privacy Framework

Das neue, am 10. Juli 2023 in Kraft getretene EU-U.S. Data Privacy Framework und der flankierende Angemessenheitsbeschluss der EU-Kommission sollen Rechtssicherheit für die Übermittlung personenbezogener Daten in die USA schaffen. Grundlage ist wieder eine Selbstzertifizierung von US-Unternehmen und damit die Zusage, die neuen Regelungen des DPF einzuhalten. Im Einzelnen sind insbesondere folgende Regelungen neu:

  • Verhältnismäßigkeit: Die US-Nachrichtendienste verpflichten sich, den Zugriff auf Daten von EU-Bürgern auf das zum Schutz der nationalen Sicherheit erforderliche und verhältnismäßige Maß zu beschränken.
  • Beschwerdeverfahren: Auf der ersten Ebene können betroffene EU-Bürger eine Beschwerde beim Civil Liberties Protection Officer („CLPO“) einreichen, dem Bürgerrechtsbeauftragten der US-Nachrichtendienste. Die nationalen Datenschutzbehörden in der EU können eine entsprechende Beschwerde entgegennehmen und weiterreichen und sorgen auch dafür, dass der Beschwerdeführer alle weiteren Informationen über das Verfahren sowie das Ergebnis erhält.
  • Überprüfungsverfahren: Auf der zweiten Ebene können betroffene EU-Bürger die Entscheidung des CLPO vor dem neu geschaffenen Data Protection Review Court anfechten. Der Review Court ist befugt, Beschwerden von EU-Bürgern zu untersuchen sowie die relevanten Informationen von Nachrichtendiensten anzufordern. Er kann verbindliche Entscheidungen treffen und beispielsweise die Löschung von Daten anordnen.

Auswirkungen für Unternehmen

Mit dem Erlass des DPF ist die Übermittlung von personenbezogenen Daten in die USA wieder einfacher geworden. Die Vereinbarung von SCCs und die Durchführung von TIAs sind grundsätzlich nicht mehr erforderlich. Unternehmen sollten trotzdem ein paar Punkte beachten:

Zertifizierung des US-Unternehmens erforderlich

Vor einer Übermittlung personenbezogener Daten an ein US-Unternehmen ist dessen Zertifizierung unter www.dataprivacyframework.gov zu prüfen. Große US-Unternehmen wie Meta, Google oder Microsoft sind bereits zertifiziert. Viele kleinere Unternehmen, die dennoch am Markt häufig eingesetzt werden, sind auf der Liste aber noch nicht zu finden.

Rechtsunsicherheit

Rechtssicherheit bietet das DPF nur, solange ein „angemessenes Schutzniveau“ in den USA gewährleistet ist und der EuGH das DPF nicht für unwirksam erklärt. Das DPF ist zudem abhängig von der Durchführungsverordnung des US-Präsidenten. Nach der nächsten Wahl könnte der nächste Präsident diese einfach wieder aufheben. Klagen gegen das DPF, wie auch schon gegen die beiden Vorgänger, sind bereits absehbar. Aus einschlägigen Kreisen wurde bereits die Kritik laut, dass auch das DPF die vom EuGH festgestellten Defizite hinsichtlich des Datenschutzniveaus in den USA nicht beseitigt. Insofern empfiehlt es sich, ggf. bereits bestehende SCCs als Rückfalllösung auch weiterhin bestehen zu lassen. Diese müssen aufgrund des DPF nicht angepasst werden und würden auch bei einem Wegfall des DPF die Datenübermittlung in die USA weiterhin absichern.

Praktische Hinweise

An dieser Stelle möchte ich betonen, dass das DPF eine Datenübermittlung insbesondere beim Einsatz von Dienstleistern abdeckt. Oftmals sollen aber Daten an Unternehmen übermittelt werden, die nicht Daten als Teil ihrer Dienste für andere verarbeiten und deswegen vermutlich die Selbstzertifizierung nicht vornehmen (z. B. bei einer Datenübermittlung im Konzern). Hier wird man mangels Selbstzertifizierung vermutlich weiterhin auf die SCCs zurückgreifen.

Das DPF sorgt lediglich dafür, dass eine Übermittlung personenbezogener Daten in die USA unter denselben Voraussetzungen zulässig ist, unter denen auch eine Datenübermittlung innerhalb des EWR zulässig wäre. Auch unter dem DPF ist aber eine datenschutzrechtliche Rechtsgrundlage für die Datenverarbeitung erforderlich, z. B. Vertragserfüllung, Einwilligung oder Interessenabwägung. Das DPF ist zudem kein Freibrief für jegliche Datenübermittlung in die USA. Es gibt Sonderregelungen, wie beispielsweise bei der Verarbeitung von Gesundheitsdaten, oder auch branchenspezifische Vorgaben, wie z. B. in der Finanzbranche, die ggf. ergänzend zu beachten sind.

Der Angemessenheitsbeschluss macht auch den Abschluss von Auftragsverarbeitungsverträgen oder Vereinbarungen über die gemeinsame Verantwortlichkeit (englisch „Joint Controllership Agreement“ oder kurz „JCA“) nicht obsolet. Ggf. sind Datenschutzerklärungen zu aktualisieren, weil darin angegeben werden muss, wenn eine Übermittlung personenbezogener Daten auf der Grundlage eines Angemessenheitsbeschlusses oder anderer geeigneter Garantien vorgenommen wird. Verarbeitungsverzeichnisse, die einen US-Datentransfer dokumentieren, müssen ggf. durch die Angabe des Angemessenheitsbeschlusses als Rechtsgrundlage für den Datentransfer ergänzt werden.

Die jüngst veröffentlichen „Anwendungshinweise der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 4. September 2023“ enthalten tiefergehende Informationen für betroffene Unternehmen.

—————————————-

Adrian Freidank, Rechtsanwalt und Fachanwalt

Gastautor:
Adrian Freidank
Rechtsanwalt und Fachanwalt für IT-Recht, Luther Rechtsanwaltsgesellschaft mbH

 

Dieser Artikel erschien in der Ausgabe DIE WIRTSCHAFT 06.2023

Bildquellen

  • Hamburg: Jörg Modrow/laif/ Luther Rechtsanwaltsgesellschaft
  • nasa-1lfI7wkGWZ4-unsplash: Foto von NASA auf Unsplash

Weitere spannende Beiträge