Datenübermittlung in Drittstaaten
Mehr Rechtssicherheit für Datenverkehr in die USA
Für Datentransfers in Drittstaaten gelten strenge Voraussetzungen. Nach zwei gescheiterten Anläufen gibt es im Datenverkehr mit den USA das Abkommen „EU-US Data Privacy Framework“. Dazu fasste die EU-Kommission einen Angemessenheitsbeschluss, der mehr Rechtssicherheit und Klarheit für den Verkehr mit Daten mit den USA bringt. Andere Drittstaaten sind von diesem Beschluss nicht betroffen.
Allgemeine Regeln für Datentransfers in Drittstaaten
Werden personenbezogene Daten in Drittstaaten übermittelt, müssen die folgenden beiden Voraussetzungen gegeben sein:
- Rechtsgrundlage für die Datenverarbeitung
- Angemessene Garantie für ein gleichwertiges Datenschutzniveau im Drittstaat z. B. Angemessenheitsbeschluss, Standarddatenschutzklauseln (SCC), Binding Corporate Rules (BCR), Ausnahmen nach Art. 49 Abs. 1 DSGVO
Datentransfer in die USA - EU-US Data Privacy Framework
Unternehmen haben für Datentransfers in die USA dadurch Rechtssicherheit, dass die EU-Kommission im Juli 2023 den Angemessenheitsbeschluss EU-US Data Privacy Framework annahm. Dieser dient als Grundlage für Datenübermittlungen an zertifizierte US-Unternehmen, ohne dass weitere angemessene Garantien (z. B. SCC oder BCR) oder zusätzliche Maßnahmen erforderlich sind.
Praxistipps - Prüfschritte und Vorgehensweise beim Datentransfer mittels EU-US Data Privacy Framework
- Voraussetzung ist, dass die US-Unternehmen, an die Daten übermittelt werden sollen, auch unter dem EU-US Data Privacy Framework zertifiziert sind. Die Liste der zertifizierten Unternehmen wird unter Participant Search (dataprivacyframework.gov) veröffentlicht.
- Zudem muss eine Rechtsgrundlage für die Datenübermittlung vorhanden sein, z. B. die Rechtgrundlage Vertrag nach Art. 6 Abs. 1 lit. b DSGVO, weil die Übermittlung dieser personenbezogenen Daten für die Erfüllung eines Vertrages erforderlich ist.
- Es muss die gesamte Kette an Drittstaatentransfers einschließlich der Subunternehmer geprüft werden. Auch sämtliche Subunternehmer müssen entsprechende Garantien nach DSGVO für ein angemessenes Datenschutzniveau (z. B. Zertifizierung oder SCC und ggf. Transfer Impact Assessment (TIA), BCR) vorweisen.
- Steht ein US-Unternehmen nicht auf der Liste des U.S. Department of Commerce, so müssen andere Garantien nach DSGVO die Datenübermittlung in die USA rechtfertigen. Dies bedeutet, diese ist rechtlich an den Erfordernissen zu prüfen, die für Drittstaaten ohne Angemessenheitsbeschluss (s. u.) gelten.
Bitte beachten Sie:
- Das Data Privacy Framework beschäftigt sich ausschließlich mit dem Datentransfer.
- Es stellt ein Instrument der DSGVO dar, das Datentransfers in die USA im beschriebenen Umfang legitimiert.
- Andere Datenschutzthemen wie Tracking sind darin nicht behandelt, sondern gesondert zu prüfen.
Datentransfer in Drittstaaten ohne Angemessenheitsbeschluss
Für derartige Datentransfers müssen neben einer Rechtsgrundlage eine angemessene Garantie (z. B. SCC - ggf. in der Variante "SCC plus" -, BCR, Ausnahmen nach Art. 49 Abs. 1 DSGVO) gegeben sein.
Die EU-Kommission hatte am 07.06.2021 an die DSGVO angepasste Standardvertragsklauseln im Europäischen Amtsblatt veröffentlicht.
Das Urteil des EuGH vom 16.07.2020 zum EU-US Privacy Shield wirkt sich weiterhin auf die Anwendung der Standardvertragsklauseln aus. Diese hat der EuGH nicht prinzipiell für unwirksam erklärt. Allerdings müssen die europäischen Unternehmen und im Anschluss die einzelnen Datenschutzbehörden im Einzelfall prüfen, ob in dem jeweiligen Drittland ein angemessenes Datenschutzniveau gewährleistet ist und mit dem Datenimporteur im Drittland vereinbarte SCC dies sicherstellen können.
Im Gegensatz zu einem Angemessenheitsbeschluss rechtfertigen SCC einen Datentransfer immer nur im Einzelfall bezogen auf den jeweiligen Vertrag. Bei jedem weiteren Vertragsabschluss müssen neue SCC abgeschlossen werden.
Der Europäischen Datenschutz-Ausschuss (EDSA) hat überarbeitete Leitlinien (Stand: 18.06.2021) zur Verfügung gestellt. Die europäischen Aufsichtsbehörden haben Hinweise zu zusätzlichen Maßnahmen für die Standarddatenschutzklauseln (sog. SCC plus) erarbeitet.
Empfehlung: Dokumentieren Sie die zusätzlichen Maßnahmen zu Ihren SCC.
Die EU-Kommission hatte am 07.06.2021 an die DSGVO angepasste Standardvertragsklauseln im Europäischen Amtsblatt veröffentlicht.
Das Urteil des EuGH vom 16.07.2020 zum EU-US Privacy Shield wirkt sich weiterhin auf die Anwendung der Standardvertragsklauseln aus. Diese hat der EuGH nicht prinzipiell für unwirksam erklärt. Allerdings müssen die europäischen Unternehmen und im Anschluss die einzelnen Datenschutzbehörden im Einzelfall prüfen, ob in dem jeweiligen Drittland ein angemessenes Datenschutzniveau gewährleistet ist und mit dem Datenimporteur im Drittland vereinbarte SCC dies sicherstellen können.
Im Gegensatz zu einem Angemessenheitsbeschluss rechtfertigen SCC einen Datentransfer immer nur im Einzelfall bezogen auf den jeweiligen Vertrag. Bei jedem weiteren Vertragsabschluss müssen neue SCC abgeschlossen werden.
Der Europäischen Datenschutz-Ausschuss (EDSA) hat überarbeitete Leitlinien (Stand: 18.06.2021) zur Verfügung gestellt. Die europäischen Aufsichtsbehörden haben Hinweise zu zusätzlichen Maßnahmen für die Standarddatenschutzklauseln (sog. SCC plus) erarbeitet.
Empfehlung: Dokumentieren Sie die zusätzlichen Maßnahmen zu Ihren SCC.