Datenverkehr zwischen der EU und den USA

Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA ("EU-US Data Privacy Framework") angenommen. Dieser Rahmen bietet Unternehmen in Europa zukünftig eine rechtssichere Möglichkeit, personenbezogene Daten an US-Unternehmen zu übermitteln. Das Abkommen soll den Zustand der Rechtsunsicherheit beenden, der für transatlantische Datenübermittlungen besteht, seitdem der Europäische Gerichtshof das Vorgängerabkommen, das sogenannte Privacy Shield, außer Kraft gesetzt hatte.

Hintergrund

Mit seinem Schrems II-Urteil hatte der EuGH das Privacy Shield außer Kraft gesetzt, so dass Unternehmen in Europa personenbezogene Daten an Empfänger in den USA seit 2020 nur unter speziellen Transfermechanismen übermitteln konnten, insbesondere auf der Grundlage der Standardvertragsklauseln (SCCs), welche die Europäische Kommission unter Berücksichtigung der von dem EuGH in dem Urteil formulierten Anforderungen an Datentransfers in die USA im Juni 2021 erlassen hatte. Die Umsetzung der SCCs ist für Unternehmen auf beiden Seiten des Atlantiks allerdings mit erheblichem organisatorischem Aufwand verbunden und bietet dabei aber letztlich keine einhundertprozentige Sicherheit, dass Daten tatsächlich auch rechtskonform übermittelt werden.

Vor diesem Hintergrund hatten sich die Europäische Kommission und US-Präsident Biden im März letzten Jahres auf ein Nachfolgeabkommen zu dem Privacy Shield verständigt, den Datenschutzrahmen (Data Privacy Framework). Die von dem EuGH in seinem Urteil formulierten Anforderungen an ein solches Nachfolgeabkommen an die USA hatten diese mit dem Durchführungsbeschluss des US-Präsidenten Joe Biden im Oktober letzten Jahres umgesetzt (siehe hier unseren Beitrag dazu). 

Inhalt des Angemessenheitsbeschlusses

Mit ihrem Angemessenheitsbeschluss hat die Europäische Kommission nunmehr bestätigt, dass die Maßnahmen, die die US-Regierung im Herbst letzten Jahres beschlossen hatte, aus ihrer Sicht ausreichen, um für Datentransfers in die USA ein angemessenes Datenschutzniveau zu schaffen. Insbesondere durch die Schaffung des Data Protection Review Court in den USA sowie der Begrenzung des Zugriffs auf personenbezogene Daten durch die US-amerikanischen Sicherheitsbehörden begegnet der Datenschutzrahmen den wesentlichen Bedenken, die der EuGH gegen das Privacy Shield angeführt hatte.

Zertifizierung der US-Unternehmen

Die Verabschiedung durch die Europäische Kommission bedeutet jedoch nicht, dass Unternehmen aus Europa unmittelbar mit dem Datentransfer in die USA auf der Grundlage des Datenschutzrahmens beginnen können. Wie bereits unter dem Privacy Shield sowie zuvor unter der Vorgängerreglung, dem Safe Harbour Abkommen, dürfen auch unter dem Datenschutzrahmen personenbezogene Daten nur an Unternehmen in die USA übermittelt werden, die sich beim US-amerikanischen Handelsministerium (US-Department of Commerce) entsprechend zertifiziert haben. Voraussetzung für die Zertifizierung ist, dass sich das Unternehmen zur Einhaltung geltenden Datenschutzrechts verpflichtet, Betroffene über ihre Rechte im Hinblick auf den Datenschutz sowie über den Umstand informiert, dass im Falle rechtmäßiger Anfragen durch die US-Behörden gegebenenfalls personenbezogene Daten an diese offengelegt werden müssen. Darüber hinaus müssen die Unternehmen personenbezogene Daten regelmäßig löschen und mit dem US Department of Commerce zusammenarbeiten.

Bedauerlicherweise ist derzeit noch unklar, ob eine bereits unter einem Vorgängerabkommen erfolgte Zertifizierung beim US-Department of Commerce auch unter dem Datenschutzrahmen weiterhin Bestand haben wird. Der Datenschutzrahmen selbst trifft hierzu keine Aussage, es ist lediglich eine jährliche Rezertifizierung der Unternehmen, die auf dieser Grundlage Daten von Betroffenen aus Europa empfangen und verarbeiten möchten, vorgesehen. Da der Datenschutzrahmen im Vergleich zu seinen Vorgängerabkommen aber zusätzliche Anforderungen formuliert, die von den Unternehmen umzusetzen sind, erscheint es fraglich, ob die bisherigen Zertifizierungen Bestand haben werden. Das US-Department of Commerce hat angekündigt, am 17. Juli eine aktualisierte Website für den Datenschutzrahmen zu veröffentlichen (www.dataprivacyframework.gov) sowie einen Leitfaden für Unternehmen, die sich zukünftig unter dem transatlantischen Datenschutzrahmen zertifizieren wollen.

Wie geht es weiter?

Der Angemessenheitsbeschluss ist ab sofort anwendbar. Er wird regelmäßig von der Europäischen Kommission gemeinsam mit den zuständigen europäischen und US-amerikanischen Aufsichtsbehörden überprüft, erstmals bereits im kommenden Jahr.

Unternehmen, die einen Datentransfer in die USA auf der Grundlage des Datenschutzrahmens planen, sollten sich zunächst informieren, ob der Datenempfänger über eine Zertifizierung beim US-Department of Commerce verfügt. Auskunft hierüber gibt die Website des Ministeriums. Sollte das Handelsministerium sich entschließen, bisherige Zertifizierungen unter einem Vorgängerabkommen aufrechtzuerhalten, so wären die Voraussetzungen für einen Datentransfer an ein entsprechend zertifiziertes Unternehmen auf der Grundlage des Datenschutzrahmens erfüllt. Andernfalls müssten Unternehmen in Europa die Neu-Zertifizierung des Datenimporteurs in den USA abwarten, oder – wie bislang – auf andere Transferinstrumente, insbesondere auf Standardvertragsklauseln (SCCs), zurückgreifen, was jedoch die Durchführung und Dokumentation eines umfassenden sog. Transfer-Impact-Assessment (TIA) erforderlich macht. Allerdings ist davon auszugehen, dass diese Prüfung für Datenimporteure, welche sich nach dem Datenschutzrahmen zertifiziert haben, in Zukunft deutlich einfacher sein dürfte.

Der österreichische Datenschutzaktivist Max Schrems hat bereits angekündigt, auch das neue Datenschutzabkommen durch den EuGH zu Fall bringen zu wollen. Demgegenüber ist die Europäische Kommission der festen Überzeugung, dass das Abkommen bei einer gerichtlichen Überprüfung Bestand haben wird. Bis auf Weiteres wird damit Unternehmen für den Datentransfer in die USA eine rechtssichere Grundlage zur Verfügung stehen.