Datenübermittlung in die USA – EU-U.S. Data Privacy Framework

Werden personenbezogene Daten in Drittstaaten übermittelt, müssen die folgenden beiden Voraussetzungen gegeben sein:

Die EU-Kommission hat am 10.07.2023 den Angemessenheitsbeschluss EU-U.S. Data Privacy Framework angenommen. Dieser dient nunmehr als Grundlage für Datenübermittlungen in die USA unter folgenden Voraussetzungen:

Mit dem Angemessenheitsbeschluss können global hierauf gestützt personenbezogene Daten aus der EU in die USA übermittelt werden, ohne dass weitere Übermittlungsinstrumente (z. B. SCC oder BCR) oder zusätzliche Maßnahmen erforderlich sind. Im Gegensatz dazu sind Standardvertragsklauseln (SCC) für jeden Einzelfall einer Datenübermittlung gesondert abzuschließen.

Voraussetzung ist jedoch, dass die US-Unternehmen, an die übermittelt werden soll, auch unter dem EU-U.S. Data Privacy Framework zertifiziert sind.

Viele große US-Unternehmen sind zertifiziert, darunter auch Global Player wie Microsoft oder Google. Das U.S. Department of Commerce veröffentlicht eine entsprechende Liste, anhand welcher überprüft werden kann, ob die betreffende Organisation zertifiziert ist. Die US-amerikanische Federal Trade Commission wird die Einhaltung der Vorschriften durch US-Unternehmen durchsetzen.

Datentransfers gestützt auf den Angemessenheitsbeschluss von der EU in die USA sind also nur zu US-Unternehmen möglich, die sich freiwillig nach dem Angemessenheitsbeschluss zertifiziert haben. Denn er ist nach DSGVO eine Garantie dafür, dass in diesen zertifizierten US-Unternehmen ein nach DSGVO-Standards angemessenes Datenschutzniveau besteht.

Zudem muss eine Rechtsgrundlage für die Datenübermittlung erforderlich sein, z. B. Art. 6 Abs. 1 lit. b DSGVO, wenn die Übermittlung dieser personenbezogenen Daten für die Erfüllung eines Vertrages erforderlich ist.

Mit Urteil vom 16.07.2020 (Rechtssache C-311/18, Schrems II) hatte der Europäische Gerichtshof (EuGH) den Angemessenheitsbeschluss der EU-Kommission zur Datenübermittlung in die USA (sog. „Privacy Shield Abkommen“) für ungültig erklärt. Damit mussten die Unternehmen ihre Datenübermittlung in die USA auf neue Rechtsgrundlagen stellen, z. B. auf die sog. Standardvertragsklauseln, die die Europäische Kommission 2021 neu gefasst hat.

Nach dem Scheitern von „Safe Harbour“ und „Privacy Shield“ ist dies der dritte Versuch, einen sicheren Rechtsrahmen für eine Datenübermittlung in die USA durch Angemessenheitsbeschluss zu schaffen. Die Kommission ist zuversichtlich, dass dieser neue Versuch einer rechtlichen Überprüfung durch den EuGH auch standhalten wird.

Ob das der Fall sein wird, bleibt allerdings abzuwarten. Denn es wurden bereits Klagen gegen den Angemessenheitsbeschluss eingereicht.

Aber die Zukunft des Data Privacy Framework steht derzeit auf der Kippe.

Der US-Präsident Donald Trump hatte zwei demokratischen Mitglieder des „Privacy and Civil Liberties Oversight Board“ (PCLOB) im Zuge seiner Sparmaßnahmen entlassen. Zuvor waren die demokratischen Mitglieder des Organs aufgefordert worden, zurückzutreten. Das PCLOB ist ein zentrales Kontrollorgan für Datenschutz und Bürgerrechte und spielte beim Angemessenheitsbeschluss der Europäischen Kommission eine wichtige Rolle. Wenn das Kontrollorgan nicht mehr arbeitsfähig wäre, gefährdet dies den Bestand des Angemessenheitsbeschlusses.

Gegen die Entlassung haben zwei Mitglieder vor dem US-Bezirksgericht für den District of Columbia geklagt. Dieses entschied nun am 21. Mai 2025, dass die Entlassung unrechtmäßig war. Das Gericht argumentierte, die Kündigung ihrer Positionen im PCLOB durch den Präsidenten verstoße gegen Bundesrecht und die US-Verfassung. Die Macht des US-Präsidenten sei nicht unbegrenzt, wenn es sich um unabhängige Kontrollorgane handle.
Abzuwarten bleibt nun, ob das Urteil Bestand haben wird. Erst dann wird man wissen, ob auch der Angemessenheitsbeschluss bestehen bleibt.