Am Ende ging es überraschend schnell: Nur eine Woche, nachdem das US-Handelsministerium mitgeteilt hatte, dass alle Maßnahmen des EU-US Data Privacy Framework (DPF) umgesetzt seien, verabschiedete die EU-Kommission am 10.07.2023 einen neuen Angemessenheitsbeschluss. Datenübermittlungen in die USA sind seither deutlich vereinfacht, für wie lange, ist jedoch fraglich.
Der folgende Beitrag gibt einen Überblick über die aktuellen Entwicklungen und zeigt den Handlungsbedarf für Unternehmen beiderseits des Atlantiks sowie langfristige Perspektiven auf.
Der neue Angemessenheitsbeschluss
Ein Angemessenheitsbeschluss der EU-Kommission hat nach Art. 45 Abs. 1 Datenschutz-Grundverordnung (DSGVO) zur Folge, dass eine Datenübermittlung in ein Drittland keiner besonderen Genehmigung bedarf. Solange ein Angemessenheitsbeschluss in Kraft ist, besteht formell ein angemessenes Datenschutzniveau. Der neue Angemessenheitsbeschluss für die USA gilt unmittelbar nur für US-Unternehmen, die nach dem DPF zertifiziert sind. Dazu müssen die US-Unternehmen ein Selbstzertifizierungsverfahren durchlaufen und werden anschließend in einer öffentlichen Datenbank unter www.dataprivacyframework.gov gelistet.
Im Rahmen der Zertifizierung können US-Unternehmen entscheiden, ob sie sich für den Empfang von Mitarbeiterdaten (HR) und/oder für den Empfang anderer personenbezogener Daten (Non-HR) zertifizieren lassen. Solange der neue Angemessenheitsbeschluss in Kraft ist, sind Datenübermittlungen an zertifizierte US-Unternehmen aus datenschutzrechtlicher Sicht nicht zu beanstanden, sofern die Zertifizierung die jeweilige Datenkategorie (HR/Non-HR) abdeckt.
Praxishinweise für Datenexporteure
Verantwortliche und Auftragsverarbeiter, die eine Datenübermittlung auf den neuen Angemessenheitsbeschluss stützen wollen, müssen prüfen, ob der Empfänger in den USA vollständig und im erforderlichen Umfang nach dem DPF zertifiziert ist. Ist dies der Fall, sind für die Übermittlung in das Drittland selbst keine weiteren Maßnahmen erforderlich. Zu beachten ist jedoch, dass eine Anpassung bestehender Datenschutzdokumente nötig sein kann. So muss beispielsweise in den Datenschutzerklärungen gemäß Art. 13 Abs. 1 lit. f DSGVO beziehungsweise Art. 14 Abs. 1 lit. f DSGVO nicht nur angegeben werden, ob personenbezogene Daten in ein Drittland übermittelt werden, sondern auch, ob ein Angemessenheitsbeschluss vorliegt und wo dieser verfügbar ist.
Anpassungsbedarf kann sich darüber hinaus auch bei Auftragsverarbeitungsverträgen oder Datenschutzfolgenabschätzungen ergeben.
Schließlich müssen Verantwortliche und Auftragsverarbeiter regelmäßig überprüfen, ob der Empfänger in den USA seine Zertifizierung nach dem DPF aufrechterhält. Hierzu empfiehlt es sich, eine Wiedervorlage zum Ablauf der jeweiligen Zertifizierungsfrist einzurichten.
Was tut sich bei US-Unternehmen?
Ohne eine Selbstzertifizierung nach dem DPF kann eine Datenübermittlung nicht auf den neuen Angemessenheitsbeschluss gestützt werden. US-Unternehmen, die bereits unter dem EU-US Privacy Shield zertifiziert waren, haben die Möglichkeit, ihre Zertifizierung unter dem DPF aufrechtzuerhalten. Voraussetzung dafür ist jedoch, dass die US-Unternehmen ihre Datenschutzerklärungen innerhalb von drei Monaten an das DPF anpassen. Aufgrund dieser Übergangsfrist kann es derzeit zu Abweichungen zwischen den Informationen in der öffentlichen Datenbank des DPF und den Informationen auf den Websites der gelisteten Unternehmen kommen. Darüber hinaus ist zu erwarten, dass einige US-Unternehmen ihre Auftragsverarbeitungsverträge an das DPF anpassen und diesbezüglich auf ihre europäischen Kunden zugehen werden.
Auswirkungen auf andere Datenübermittlungen in die USA
Grundlage des neuen Angemessenheitsbeschlusses ist die Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities (EO 14086), die der amerikanische Präsident Joe Biden am 07.10.2022 erlassen hat. Ziel der EO 14086 ist es, die Bedenken des Europäischen Gerichtshofs (EuGH) gegen Datenübermittlungen in die USA auszuräumen, die dieser in seinen Entscheidungen sowohl zum Safe-Harbor-Abkommen (Urteil vom 06.10.2015, Rs. C-362/14 – „Schrems“) als auch zum EU-US Privacy Shield (Urteil vom 16.07.2020, Rs. C 311/18 – „Schrems II“) geäußert hatte. Um dieses Ziel zu erreichen, enthält die EO 14086 nicht nur Regelungen, die den Datenzugriff durch US-Nachrichtendienste auf ein angemessenes und verhältnismäßiges Maß beschränken sollen, sondern auch neue Rechtsbehelfe für Betroffene.
Über einen zweistufigen Rechtsbehelfsmechanismus können Betroffene in der EU künftig gegen Datenzugriffe durch US-Nachrichtendienste Beschwerde einlegen. Diese Änderungen in der Rechtslage beschränken sich jedoch nicht auf Datenübermittlungen auf der Grundlage des Angemessenheitsbeschlusses. Auch Datenübermittlungen, die weiterhin auf geeignete Garantien nach Art. 45 ff. DSGVO gestützt werden, profitieren von den Änderungen. Werden beispielsweise die Standardvertragsklauseln (SCC) der Europäischen Kommission verwendet, sind die Auswirkungen der EO 14086 innerhalb des Transfer-Impact-Assessments (TIA) bei der Risikobewertung zur Rechtslage und der gelebten Datenschutzpraxis im Drittland zu berücksichtigen.
„Schrems III“ ante portas?
Mit dem EU-US Data Privacy Framework haben die EU-Kommission und die USA einen dritten Anlauf für einen Angemessenheitsbeschluss und mehr Rechtssicherheit beim transatlantischen Austausch personenbezogener Daten unternommen. Ob der neue Angemessenheitsbeschluss einer Überprüfung durch den EuGH standhalten und dauerhafte Rechtssicherheit bringen wird, wird unterschiedlich beurteilt. Befürworter verweisen auf die zahlreichen Änderungen im US-amerikanischen Recht, die ausschlaggebend für den Angemessenheitsbeschluss waren. Kritiker bemängeln, dass die Änderungen keine grundlegenden Änderungen im US-Überwachungsrecht bewirken. Die Datenschutzinitiative NOYB und ihr Vorsitzender Maximilian Schrems, der bereits die EuGH-Entscheidung zu den Vorgängerbeschlüssen initiiert hatte, haben deshalb eine gerichtliche Überprüfung des neuen Angemessenheitsbeschlusses angekündigt. Nach der jahrelangen Hängepartie bei Datenübermittlungen in die USA deuten die Reaktionen auf das DPF derzeit eher auf eine Verschnaufpause als auf dauerhafte Rechtssicherheit hin.
Fazit und Ausblick
Mit dem neuen Angemessenheitsbeschluss wird ein neues Kapitel im transatlantischen Datenverkehr aufgeschlagen. Es bleibt abzuwarten, ob der EuGH dieses Kapitel in den kommenden Jahren fortschreiben oder erneut mit einer ablehnenden Entscheidung schließen wird. Sollte es der EU-Kommission auch im dritten Anlauf nicht gelungen sein, eine dauerhafte Lösung für Datentransfers in die USA zu schaffen, wird sich zudem die Frage stellen, ob statt weiteren Änderungen im US-Recht nicht eine Anpassung der Rechtslage in der EU (also der DSGVO) die richtige Maßnahme ist. Unternehmen, die eine langfristige Lösung für die Herausforderungen des Datentransfers in die USA suchen, ist mit dem neuen Angemessenheitsbeschluss jedenfalls wenig geholfen. Wer mehr Rechtssicherheit erreichen will, sollte deshalb nach Möglichkeit auf europäische Lösungen setzen. Um einen Drittstaatentransfer wirksam auszuschließen, muss durch eine klare vertragliche Regelung sichergestellt werden, dass die Datenverarbeitung ausschließlich im europäischen Wirtschaftsraum erfolgt. Darüber hinaus ist es erforderlich, dass die jeweilige Vereinbarung mit einem europäischen Unternehmen oder zumindest mit einer europäischen Tochtergesellschaft eines US-Unternehmens geschlossen wird. In Fällen, in denen eine Datenübermittlung in die USA nicht ausgeschlossen werden kann, können zusätzliche technische Maßnahmen wie Verschlüsselung oder Pseudonymisierung eine langfristige Perspektive eröffnen.