Die zur Verfügung gestellten Informationen im Beitrag ersetzen keine individuelle juristische Beratung.
Mit Inkrafttreten des neuen Angemessenheitsbeschlusses, dem EU-U.S. Data Privacy Framework (DPF) gibt es seit Juli 2023 wieder eine Grundlage, auf der Daten rechtssicher in die USA transferiert werden können. Der Nachfolger des Privacy Shields sorgt nun dafür, dass personenbezogene Daten wieder von der EU in die USA fließen können, ohne dass weitere Übermittlungsinstrumente oder Garantien notwendig sind. Voraussetzung dafür ist allerdings die Zertifizierung der amerikanischen Unternehmen oder Organisationen unter dem EU-U.S. Data Privacy Framework.
Übermittlungen personenbezogener Daten in Drittländer sind bekanntlich nur dann möglich, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Das heißt, dass durch geeignete Maßnahmen sichergestellt werden muss, dass das durch die DSGVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird. Dies kann durch geeignete Garantien wie bspw. den Abschluss von Standardvertragsklauseln (Standard Contractual Clauses, SCC), Binding Corporate Rules (BCR) oder einen Angemessenheitsbeschluss erreicht werden.
In der alltäglichen Geschäftspraxis europäischer Unternehmen sind insbesondere Datenübermittlungen in die USA von großer wirtschaftlicher Bedeutung. In der Vergangenheit gab es bereits zwei Angemessenheitsbeschlüsse, auf die Unternehmen die Übermittlung personenbezogener Daten in die USA stützen konnten. Beide Beschlüsse hielten allerdings einer rechtlichen Überprüfung durch den EuGH nicht stand. So wurde sowohl das Safe Harbour Abkommen (Oktober 2015) als auch das Privacy Shield Abkommen (Juli 2020) für ungültig erklärt, weil der EuGH der Ansicht war, dass die Abkommen aufgrund der bestehenden Rechtslage in den USA kein angemessenes Datenschutzniveau gewährleisten können. Unter anderem fehle es an effektivem Rechtsschutz für betroffene Personen. Zudem seien die Befugnisse US-amerikanischer Geheimdienste und Sicherheitsbehörden zu weitreichend, sodass für Betroffene kein ausreichender Schutz vor Datenmissbrauch durch staatliche Überwachung gewährleistet werden könne. Somit herrschte seit Juli 2020 erhebliche Rechtsunsicherheit in Bezug auf den Datentransfer in die USA, denn auch der Einsatz der Standardvertragsklauseln inkl. des verpflichtenden Transfer Impact Assessment (TIA) waren stets dem Risiko ausgesetzt, einer gerichtlichen Prüfung nicht standhalten zu können.
Mit Erlass des neuen EU-U.S. Data Privacy Framework (DPF) im Juli 2023 wurde dieser Zustand nun vorerst geheilt. Damit hat die EU-Kommission festgestellt, dass Unternehmen, die unter dem DPF zertifiziert sind (Wichtig: nicht die gesamten USA), ein angemessenes Schutzniveau für personenbezogene Daten bieten. Anhand der öffentlichen Liste des US-Handelsministeriums (https://www.dataprivacyframework.gov/s/participant-search) müssen EU-Unternehmen jetzt prüfen, ob und in welchem Umfang ein Unternehmen aus den USA zertifiziert ist. Denn eine solche Zertifizierung gilt nicht immer gleich für das gesamte Unternehmen, sondern kann auf bestimmte Datenkategorien (z. B. nur HR-Daten) beschränkt sein. Ist die geplante Datenübermittlung vom DPF gedeckt, sind keine weiteren Schutzmaßnahmen notwendig. Findet die geplante Datenübermittlung im Rahmen einer Auftragsverarbeitung statt, ist jedoch nach wie vor der Abschluss eines Auftragsverarbeitungsvertrages notwendig. Letzterer kann auch weiterhin durch den Einsatz von Standardvertragsklauseln (SCC) abgebildet werden.
Es ist durchaus möglich und sogar empfehlenswert, das DPF und die SCC zu kombinieren. Sollte der aktuelle Angemessenheitsbeschluss durch den EuGH erneut für ungültig erklärt werden, können bestehende Datenverarbeitungen weiterhin auf die abgeschlossenen SCCs gestützt werden. So kann verhindert werden, dass Übermittlungen, die ausschließlich auf das DPF gestützt werden, mit sofortiger Wirkung rechtswidrig werden. Unternehmen sollten bei paralleler Verwendung von DPF und SCC zu Beginn klarstellen, in welchem Verhältnis (nebeneinander oder subsidiär?) die beiden Übermittlungsinstrumente zueinander stehen. Die gleichzeitige Anwendung von DPF und SCC bewahrt das Unternehmen jedoch nicht vor der Durchführung eines Transfer Impact Assessment (TIA) im Rahmen des Abschlusses der SCC. Das TIA kann jedoch unter Berücksichtigung der Einschätzung der Kommission zum Datenschutzniveau in den USA deutlich weniger umfangreich ausfallen als bisher. Die Änderungen der Rechtslage zum Datenschutz in den USA (Siehe auch Executive Order https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/fact-sheet-united-states-and-european-commission-announce-trans-atlantic-data-privacy-framework/) können somit positiv in die Bewertung des TIA einfließen. Dies gilt auch für bereits durchgeführte TIAs, die nun dahingehend angepasst werden können. Jedoch ist an dieser Stelle zu berücksichtigen, dass ein TIA hinsichtlich des Datenschutzniveaus in den USA überarbeitet werden muss, sollte der EuGH das DPF in Zukunft für ungültig erklären.
Abschließend ist festzuhalten, dass mit dem DPF die Rechtsunsicherheit von Datenübermittlungen in die USA vorerst beseitigt wurde. Solange der Angemessenheitsbeschluss durch den EuGH nicht für ungültig erklärt wird, dürfte er den EU-U.S. Datentransfer erheblich erleichtern. Unternehmen sind jedoch nicht gezwungen, ihre Datenverarbeitung auf den Angemessenheitsbeschluss zu stützen. Übermittlungen sind nach wie vor auch unter Verwendung von Binding Corporate Rules oder Standardvertragsklauseln möglich, nicht zuletzt auch in Kombination mit dem DPF. Gerade vor dem Hintergrund, dass das DPF in naher Zukunft einer rechtlichen Überprüfung durch den EuGH wird standhalten müssen, ist der zusätzliche Abschluss von SCCs als Safeguard empfohlen.
