Neues zum Datenschutzrecht
14.7.2023
Datenübermittlung in die USA: Neuer Angemessenheitsbeschluss
Die EU-Kommission hat am 10. Juli 2023 den Angemessenheitsbeschlusses für eine Datenverarbeitung in den USA im Rahmen des EU-U.S. Data Privacy Framework (DPF) gefasst (s. Pressemitteilung v. 10.7.2023). Der 134 Seiten umfassende Beschluss kann auf der Website der EU-Kommission oder direkt hier heruntergeladen werden. Er ist bislang nur in englischer Sprache verfügbar.
Der Angemessenheitsbeschluss selbst umfasst zwar nur 4 Artikel, wird aber auf fast 62 Seiten mit 223 Erwägungsgründen ausgeführt. Schließlich gibt es noch einige Anhänge z.B. Schreiben diverser US-Behörden wie dem Department of Commerce und dem Justizministerium, in denen unter Bezugnahme auf die „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ v. 7.10.2022 erläutert wird, welche Zusicherungen die US-Seite gegeben hat und wie diese gemeint sind. Die Exekutivanordnung zur Implementierung eines neuen EU-USA-Datenschutzabkommen bildet auf Seiten der USA die rechtliche Basis für ein neues Datenschutzabkommen zwischen der EU und den USA. Sie enthält die Regelungen, mit denen die Vorgaben des EuGH umgesetzt und so die Grundlage für einen Angemessenheitsbeschluss der EU-Kommission gem. 45 DSGVO geschaffen werden sollen. Kernpunkte der Executive Order sind Regelungen zur Datenverarbeitung im Rahmen von Überwachungsmaßnahmen durch US-Geheimdienste und zum Beschwerdeverfahren (Details dazu s. Datenschutz-News v. 8.10.2022).
Kernpunkte des Angemessenheitsbeschlusses
Der neue Angemessenheitsbeschluss sieht wie sein „Vorgänger“ (EU-US Privacy Shield) vor, dass US-Unternehmen sich zur Einhaltung detaillierter Datenschutzvorgaben verpflichten können. Zudem sollen EU-Bürgern verschiedene Rechtsbehelfe wie unentgeltliche Streitbeilegungsverfahren und eine Schiedsstelle offenstehen (Details dazu s. Datenschutz-News v. 8.10.2022).
Regelmäßige Überprüfung
Die Funktionsweise des neuen Datenschutzrahmens soll regelmäßig überprüft werden, um zu ermitteln, ob alle einschlägigen Elemente des US-Rechtsrahmens vollständig umgesetzt wurden und in der Praxis wirksam funktionieren. Diese Überprüfung soll gemeinsam von der Europäischen Kommission und den europäischen Datenschutzbehörden sowie von den zuständigen US-Behörden durchgeführt werden und erstmalig binnen eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses erfolgen.
Hintergrund
Der Europäische Gerichtshof (EuGH) hat am 16.7.2020 die Regelungen des EU-US-Privacy Shield („Privacy Shield“) – dem „Nachfolger“ von Safe Harbor – für unwirksam erklärt. Dieses Gerichtsurteil (Az. C-311/18) hatte weitreichende Folgen für Übermittlungen personenbezogener Daten in die USA, aber auch in andere Drittländer.
Eine Datenübermittlung in ein Drittland ist gemäß Art. 45 Abs. 1 DSGVO zulässig, wenn die EU-Kommission für dieses Drittland ein angemessenes Datenschutzniveau festgestellt hat. Für die USA gab es diesen Angemessenheitsbeschluss in Bezug auf die Regelungen des Privacy Shield vom 12.7.2016, der vom EuGH im Jahr 2020 für ungültig erklärt wurde, wie es das Gericht bereits mit dem Vorgänger des Privacy Shield, den Safe Harbor-Regelungen getan hat.
Liegt kein Angemessenheitsbeschluss der EU-Kommission vor, ist eine Datenübermittlung in Drittländer nach Art. 46 Abs. 1 DSGVO zulässig, wenn Verantwortliche oder Auftragsverarbeiter geeignete Garantien hinsichtlich des auf die konkrete Datenübermittlung bezogenen Datenschutzniveaus vorsehen und den betroffenen Personen durchsetzbare Rechte sowie effektive Rechtsmittel zur Verfügung stehen. Diese Garantien können gemäß Art. 46 Abs. 2 DSGVO unter anderem in verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules) und Standarddatenschutzklauseln bestehen. Allerdings entbindet der Einsatz zum Beispiel von Standarddatenschutzklauseln nicht von der datenschutzrechtlichen Verantwortlichkeit für das Vorliegen ausreichender Garantien für den Schutz der personenbezogenen Daten in dem konkreten Drittland. Daran hat sich auch mit den neuen Standarddatenschutzklauseln nichts geändert (s. dazu Datenschutz-News v. 9.7.2021).
Da die Standarddatenschutzklauseln keine Garantien bieten können, die über die vertragliche Verpflichtung hinausgehen, für die Einhaltung des angemessenen Schutzniveaus zu sorgen, kann es in Abhängigkeit von der konkreten Lage in einem Drittland erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten. Das wird regelmäßig der Fall sein bei hoheitlichen Zugriffsmöglichkeiten und insoweit fehlenden hinreichenden Rechtsbehelfen für die betroffenen Personen mit der Folge, dass kein angemessener Schutz vor einem behördlichen Zugriff auf die Daten besteht. Da der EuGH gerade aufgrund dieser beiden Aspekte für Datenübermittlungen in die USA festgestellt hat, dass dort ein angemessenes Schutzniveau nicht durchgängig gewährleistet ist, müssen hier beim Einsatz von Standarddatenschutzklauseln zusätzliche Garantien geschaffen werden.
In jedem Fall obliegt es dem Verantwortlichen – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Daten bzw. mit dessen Unterstützung – zu prüfen, ob das Recht des Drittlandes nach Maßgabe des EU-Rechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet. Erst nach einer solchen Risikoprüfung (sog. TIA – Transfer Impact Assessment) unter Berücksichtigung der Rechtslage und der Praxis im betreffenden Drittland können die Standarddatenschutzklauseln zum Einsatz kommen – entweder allein oder erforderlichenfalls mit zusätzlichen Garantien. Wie diese zusätzlichen Garantien insbesondere im Fall der USA konkret aussehen müssen bzw. können, ist weiterhin unklar. Fest steht, dass eine lediglich vertragliche Zusatzregelung nicht ausreichen kann, weil sie die Behörden und sonstigen staatlichen Organe gerade nicht binden.
Kann der in der Union ansässige Verantwortliche keine hinreichenden zusätzlichen Maßnahmen ergreifen, um den erforderlichen Schutz zu gewährleisten, ist die Datenübermittlung auf der Grundlage von Standarddatenschutzklauseln nicht möglich. Eine bereits laufende Datenübermittlung in Drittländer muss ausgesetzt oder beendet werden, wenn das Recht des Drittlandes aufgrund von Änderungen nach Verarbeitungsbeginn keinen angemessenen Schutz der übermittelten Daten mehr gewährleistet und keine hinreichenden zusätzlichen Maßnahmen ergriffen werden (können), um diesen Schutz wieder herzustellen.
Praxistipps
Eine Datenübermittlung an US-Unternehmen, die unter dem DPF zertifiziert sind, ist nunmehr (wieder) ohne zusätzliche Datenschutzgarantien möglich. Es ist jedoch zu beachten, dass das US-Unternehmen die Selbstzertifizierung vollständig durchlaufen hat und auch die zu übermittelnde Art der Daten tatsächlich umfasst ist. Hintergrund: Im Rahmen der Zertifizierung gibt es insoweit eine Differenzierung zwischen Beschäftigtendaten und sonstigen personenbezogenen Daten. Ob diese Voraussetzungen vorliegen, kann durch einen Abgleich mit der öffentlich zugänglichen Datenbank des U.S. Department of Commerce erfolgen, die Sie hier finden.
Erfolgt die Datenübermittlung in die USA gem. Art. 45 Abs. 1 DSGVO aufgrund des neuen Angemessenheitsbeschlusses, muss dieser Umstand in der Datenschutzorganisation berücksichtigt werden. Das heißt, sofern eine Datenübermittlung in die USA auf Basis einer anderen Rechtsgrundlage stattfand muss, ein etwaiger Wechsel im Verzeichnis der Verarbeitungstätigkeiten, in den Informationen gegenüber den betroffenen Personen (Datenschutzhinweise) sowie bei der Auskunftserteilung berücksichtigt und entsprechend angepasst werden. Last but not least sollten Sie eine etwaige TIA für bislang erfolgte Datenübermittlungen zu Dokumentationszwecken archivieren (Stichwort Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO).
Fazit
Der Angemessenheitsbeschluss für Datenübermittlungen in die USA vereinfacht eine datenschutzrechtskonforme Umsetzung und bringt insoweit wieder Rechtssicherheit – zumindest für eine bestimmte Zeit. Ob der Angemessenheitsbeschluss die DSGVO-Vorgaben im Sinne der Rechtsprechung des EuGH tatsächlich erfüllt, ist jedoch fraglich. Das sieht auch Max Schrems so, der das EU-U.S. Data Privacy Framework (DPF) weitgehend als eine Kopie von "Privacy Shield" hält und rechtlich dagegen vorgehen wird. Hier wird der EuGH wohl wieder das letzte Wort haben.
Sollten Sie Fragen zur Datenübermittlung in die USA oder andere Drittländer oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht