Neuer Rechtsrahmen für Datentransfers in die USA – was Sie jetzt beachten müssen

icon arrow down white

Am 10. Juli 2023 hat die Europäische Kommission den lang ersehnten Angemessenheitsbeschluss für das neue EU-U.S.-Data Privacy Framework (kurz: „Data Privacy Framework“) veröffentlicht. Dieser schafft eine – vorerst – rechtssichere Grundlage für die Übermittlung personenbezogener Daten an zertifizierte Unternehmen in den USA, ohne dass zusätzliche Maßnahmen oder Genehmigungen notwendig sind.

Hintergrund: Nichtigkeit früherer Angemessenheitsbeschlüsse

Das neue Data Privacy Framework ist der Nachfolger des sog. „Privacy Shields“. Den darauf basierenden Angemessenheitsbeschluss der EU hatte der EuGH im Juli 2020 mit der aufsehenerregenden Entscheidung „Schrems II“ für ungültig erklärt. Zuvor hatten die europäischen Richter schon den Angemessenheitsbeschluss einkassiert, der auf dem als „Safe Harbor“ genannten Vorgängerabkommen basierte. Grund waren in beiden Fällen die weitreichenden Überwachungs- und Eingriffsbefugnisse der US-Nachrichtendienste im Hinblick auf personenbezogene Daten von EU-Bürgern. Diese führten dazu, dass es nach dem EuGH an dem notwendigen mit der EU vergleichbaren Datenschutzniveau in den USA fehlte.

Die Nichtigkeitserklärung des Angemessenheitsbeschlusses zum „Privacy Shield“ durch den EuGH führte zu einer erheblichen Rechtsunsicherheit für Unternehmen und Datenschutzberater. Denn auch bei Vereinbarung der sogenannten „EU-Standardvertragsklauseln“ mitsamt Risikodokumentation durch „Transfer Impact Assessments“ und gegebenenfalls Ergreifung weiterer Schutzmaßnahmen war bis zuletzt unklar, ob diese Maßnahmen aus Sicht der Aufsichtsbehörden und Gerichte ausreichend waren.

Dieses Risiko besteht in dieser Form zum Glück nicht mehr. Das bereits im März 2022 zwischen EU-Kommission und US-Regierung abgeschlossene Data Privacy Framework enthält jetzt mehr verbindliche Garantien und schränkt die Befugnisse der US-Geheimdienste stärker ein. Auf Daten von EU-Bürgern darf zukünftig nur im erforderlichen und verhältnismäßigen Umfang zugegriffen werden. Zudem wurden Rechtsbehelfsmöglichkeiten eingeführt, damit sich EU-Bürger gegen ungerechtfertigte Zugriffe wehren können.

Zulässiger Datentransfer nur an zertifizierte Unternehmen

Das Data Privacy Framework stellt daher für datenexportierende Unternehmen in der EU eine wesentliche Erleichterung dar, nicht zuletzt beim unvermeidbaren Einsatz US-amerikanischer Dienstleister. Die auf den neuen Angemessenheitsbeschluss gestützte Datenübermittlung setzt lediglich voraus, dass das empfangende US-Unternehmen unter dem Data Privacy Framework zertifiziert ist. Dafür muss es sich selbst zur Einhaltung verschiedener datenschutzrechtlicher Vorgaben verpflichten. Die so erfolgte Zertifizierung kann jeder Datenexporteur vor der Datenübermittlung schnell und einfach überprüfen: Die Datenbank der zertifizierten Unternehmen ist online aufrufbar.

Gleichwohl gibt es keine Pflicht, auf den Angemessenheitsbeschluss als neue Rechtsgrundlage zurückzugreifen. Es ist weiterhin möglich, die Datenübermittlung auf bereits vereinbarte Standardvertragsklauseln zu stützen, insbesondere wenn die zugehörige Risikodokumentation vorliegt. Dies hat unter anderem den Vorteil, dass die Standardvertragsklauseln zugleich die rechtlichen Anforderungen an einen Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO erfüllen. Sie sind zudem eine Sicherheit für den Fall, dass der EuGH auch den neuen Angemessenheitsbeschluss für unwirksam erklärt.

Was Sie jetzt beachten müssen

Auch wenn unter dem neuen Angemessenheitsbeschluss die Datenübermittlung an zertifizierte Unternehmen in den USA von sich zulässig ist, müssen Unternehmen ihre Datenschutzdokumentation entsprechend aktualisieren: 

  • Sie müssen Ihre Datenschutzerklärungen und Verarbeitungsverzeichnisse anpassen, soweit Sie die US-Datenübermittlung zukünftig auf den neuen Angemessenheitsbeschluss stützen.
  • Die Vorlagen für die Beantwortung von Betroffenenanfragen sind entsprechend anzupassen.
  • Soweit Sie als Auftragsverarbeiter tätig sind, müssen beim Einsatz von US-Unterauftragsverarbeitern die Grundlagen zur Drittlandsübermittlung aktualisiert werden.
  • Soweit Sie wegen der risikobehafteten Datenübermittlung in die USA Datenschutz-Folgeabschätzungen vorgenommen haben, sollten diese kritisch überprüft und ggf. angepasst werden.

Zukunft des Angemessenheitsbeschlusses ungewiss – Klage schon eingereicht

Ob der neue Rechtsrahmen, den das Data Privacy Framework geschaffen hat, zukünftig Bestand haben wird, wird sich zeigen. Denn eine erste Klage ist bereits eingereicht. Allerdings wider Erwarten nicht von Herrn Schrems, sondern laut einer Pressemitteilung von dem französischen Abgeordneten Philippe Latombe vor dem Europäischen Gericht. Er fühlt sich durch den neuen Angemessenheitsbeschluss in seinen Rechten verletzt, da dieser nicht mit der DSGVO und den Grundrechten der Union in Einklang stehe. Gleichzeitig hat auch die NGO von Herrn Schrems angekündigt, gegen den neuen Angemessenheitsbeschluss gerichtlich vorzugehen.

Es ist daher nur eine Frage der Zeit, bis das Data Privacy Framework – genau wie seine Vorgänger – von den nationalen Gerichten dem EuGH zur Überprüfung vorgelegt wird. Die Ruhe, die der neue Angemessenheitsbeschluss vorerst geschaffen hat, ist daher möglicherweise nur von verhältnismäßig kurzer Dauer.

Über das Symbol diesen Artikel weiterempfehlen

Dazu passende Artikel

  • IT-Outsourcing im Mittelstand: Strategien und Herausforderungen

  • Pflicht zur elektronischen Rechnung

  • Sanktionslisten: Compliance-Risiken und Handlungsbedarf für Unternehmen

  • Entwicklungen in der IT-Compliance: Überblick über neue Richtlinien und Anforderungen