Fachthemen

Datenübermittlung in die USA – EU-U.S. Data Privacy Framework

Für Datentransfers in Drittstaaten gelten strenge Voraussetzungen. Nach zwei gescheiterten Anläufen gibt es nun im Datenverkehr mit den USA einen Datenpakt: EU-U.S. Data Privacy Framework. Dazu hat die EU-Kommission einen Angemessenheitsbeschluss gefasst, der mehr Rechtssicherheit und Klarheit für den Verkehr mit Daten mit den USA bringt. Andere Drittstaaten sind von diesem Beschluss nicht betroffen.

Werden personenbezogene Daten in Drittstaaten übermittelt, müssen die folgenden beiden Voraussetzungen gegeben sein:

Rechtsgrundlage für die Datenverarbeitung
Angemessene Garantie für ein gleichwertiges Datenschutzniveau im Drittstaat, z. B. Angemessenheitsbeschluss, Standarddatenschutzklauseln (SCC), Binding Corporate Rules (BCR), Ausnahmen nach Art. 49 Abs. 1 DSGVO

Datentransfer in die USA - Neu: EU-U.S. Data Privacy Framework

Unternehmen bekommen für Datentransfers in die USA ab sofort mehr Rechtssicherheit. Die EU-Kommission hat am 10.07.2023 den neuen Angemessenheitsbeschluss EU-U.S. Data Privacy Framework angenommen. Dieser dient nunmehr als Grundlage für Datenübermittlungen in die USA unter folgenden Voraussetzungen:

Mit dem Angemessenheitsbeschluss können ab sofort global hierauf gestützt personenbezogene Daten aus der EU in die USA übermittelt werden, ohne dass weitere Übermittlungsinstrumente (z. B. SCC oder BCR) oder zusätzliche Maßnahmen erforderlich sind. Im Gegensatz dazu sind SCC für jeden Einzelfall einer Datenübermittlung gesondert abzuschließen.

Voraussetzung ist jedoch, dass die US-Unternehmen, an die übermittelt werden soll, auch unter dem EU-U.S. Data Privacy Framework zertifiziert sind.

Viele große US-Unternehmen haben angekündigt, sich freiwillig nach diesem neuen Angemessenheitsbeschluss zertifizieren zu lassen. Einige Unternehmen sind offenbar bereits zertifiziert, darunter auch Global Player wie Microsoft oder Google. Das U.S. Department of Commerce veröffentlicht eine entsprechende Liste, anhand welcher überprüft werden kann, ob die betreffende Organisation zertifiziert ist. Die US-amerikanische Federal Trade Commission wird die Einhaltung der Vorschriften durch US-Unternehmen durchsetzen.

Wie geht es weiter?

Datentransfers gestützt auf den neuen Angemessenheitsbeschluss von der EU in die USA sind nur zu US-Unternehmen möglich, die sich freiwillig nach dem Angemessenheitsbeschluss zertifiziert haben. Denn er ist nach DSGVO eine Garantie dafür, dass in diesen zertifizierten US-Unternehmen ein nach DSGVO-Standards angemessenes Datenschutzniveau besteht.

Zudem muss eine Rechtsgrundlage für die Datenübermittlung erforderlich sein, z. B. Art. 6 Abs. 1 lit. b DSGVO, wenn die Übermittlung dieser personenbezogenen Daten für die Erfüllung eines Vertrages erforderlich ist.

Mit Urteil vom 16.07.2020 (Rechtssache C-311/18, Schrems II) hatte der Europäische Gerichtshof (EuGH) den Angemessenheitsbeschluss der EU-Kommission zur Datenübermittlung in die USA (sog. „Privacy Shield Abkommen“) für ungültig erklärt. Damit mussten die Unternehmen ihre Datenübermittlung in die USA auf neue Rechtsgrundlagen stellen, z. B. auf die sog. Standardvertragsklauseln, die die Europäische Kommission 2021 neu gefasst hat.

Nach dem Scheitern von „Safe Harbour“ und „Privacy Shield“ ist dies nun der dritte Versuch, einen sicheren Rechtsrahmen für eine Datenübermittlung in die USA durch Angemessenheitsbeschluss zu schaffen. Die Kommission ist zuversichtlich, dass dieser neue Versuch einer rechtlichen Überprüfung durch den EuGH auch standhalten wird.

Ob das der Fall sein wird, bleibt allerdings abzuwarten. Denn Max Schrems hat bereits angekündigt, auch gegen diesen Angemessenheitsbeschluss zu klagen.