Datenübermittlung in die USA – EU-U.S. Data Privacy Framework angenommen

Unternehmen bekommen für Datentransfers in die USA ab sofort mehr Rechtssicherheit. Die EU-Kommission hat am 10. Juli 2023 den neuen Angemessenheitsbeschluss DPF angenommen. Dieser dient nunmehr als Grundlage für Datenübermittlungen in die USA unter folgenden Voraussetzungen:

Mit dem DPF können ab sofort personenbezogene Daten aus der EU in die USA übermittelt werden, ohne dass weitere Übermittlungsinstrumente (zum Beispiel SCC oder BCR) oder zusätzliche Maßnahmen erforderlich sind. Im Gegensatz dazu sind SCC für jeden Einzelfall einer Datenübermittlung gesondert abzuschließen. Damit stellt der DPF eine Alternative zu Standardvertragsklauseln usw. dar.

Wie Safe Harbour und dem Privacy Shield beruht auch das DPF auf einem Selbstzertifizierungsmechanismus.

Voraussetzung ist jedoch, dass die US-Unternehmen, an die übermittelt werden soll, auch unter dem EU-U.S. Data Privacy Framework zertifiziert sind.

Viele große US-Unternehmen haben angekündigt, sich freiwillig nach diesem neuen Angemessenheitsbeschluss zertifizieren zu lassen. Das U.S. Department of Commerce (US- Handelsministerium) veröffentlicht eine entsprechende Liste, anhand welcher überprüft werden kann, ob die betreffende Organisation zertifiziert ist. Die US-amerikanische Federal Trade Commission wird die Einhaltung der Vorschriften durch US-Unternehmen durchsetzen.

Derzeit ist im Internet nur die Liste der US-Unternehmen abrufbar, welche nach dem EU-U.S. Privacy Shield zertifiziert waren. Dieses hatte der EuGH mit Urteil vom 16. Juli 2020 für unwirksam erklärt.

Datentransfers, gestützt auf den neuen Angemessenheitsbeschluss von der EU in die USA sind nur zu US-Unternehmen möglich, die sich freiwillig nach dem Angemessenheitsbeschluss zertifiziert haben. Dies ist derzeit noch nicht der Fall. Jedoch wird diese Zertifizierung rasch erfolgen und die Liste aufgebaut werden. Die offizielle Webseite für das DPF wird wahrscheinlich am 17. Juli 2023 in Betrieb genommen. Ab diesem Zeitpunkt können Selbstzertifizierungen eingerichtet werden und die Liste der zertifizierten Empfänger in den USA steht zur Verfügung.

Künftig wird dieser Angemessenheitsbeschluss alle Datenübermittlungen von der EU an freiwillig zertifizierte US-Unternehmen rechtfertigen. Denn er ist nach DSGVO eine Garantie dafür, dass in diesen zertifizierten US-Unternehmen ein nach DSGVO-Standards angemessenes Datenschutzniveau besteht.

Zudem muss eine Rechtsgrundlage für die Datenübermittlung erforderlich sein, z. B. Art. 6 Abs. 1 lit. b DSGVO, wenn die Übermittlung dieser personenbezogenen Daten für die Erfüllung eines Vertrages erforderlich ist.

Bis dahin ist ein Datentransfer in die USA weiterhin rechtlich an den Erfordernissen zu prüfen, die für Drittstaaten ohne Angemessenheitsbeschluss gelten.

Beachte: Das DPF beschäftigt sich ausschließlich mit dem Datentransfer. Es stellt ein Instrument der DSGVO dar, das Drittstaatentransfers in die USA im beschriebenen Umfang legitimiert. Andere Datenschutzthemen wie Tracking sind darin nicht behandelt, sondern gesondert zu prüfen.

Mit Urteil vom 16.07.2020 (Rechtssache C-311/18, Schrems II) hatte der Europäische Gerichtshof (EuGH) den Angemessenheitsbeschluss der EU-Kommission zur Datenübermittlung in die USA (sog. „Privacy Shield Abkommen“) für ungültig erklärt. Damit mussten die Unternehmen ihre Datenübermittlung in die USA auf neue Rechtsgrundlagen stellen, zum Beispiel auf die sog. Standardvertragsklauseln, die die Europäische Kommission 2021 neu gefasst hat.

Nach dem Scheitern von „Safe Harbour“ und „Privacy Shield“ ist dies nun der dritte Versuch, einen sicheren Rechtsrahmen für eine Datenübermittlung in die USA durch Angemessenheitsbeschluss zu schaffen. Die Kommission ist zuversichtlich, dass dieser neue Versuch einer rechtlichen Überprüfung durch den EuGH auch standhalten wird.

Ob das der Fall sein wird, bleibt allerdings abzuwarten. Denn Max Schrems hat bereits angekündigt, auch gegen diesen Angemessenheitsbeschluss zu klagen.

Weitere Informationen zum DPF finden Sie hier.

Stand: Juli 2023