Grundsätzliches zur Drittlandübermittlung
Innerhalb des Europäischen Wirtschaftsraums findet auf die Verarbeitung personenbezogener Daten die Europäische Datenschutzgrundverordnung (DSGVO) Anwendung. Die Verarbeitung personenbezogener Daten ist dabei grundsätzlich verboten und nur bei Vorliegen bestimmter Bedingungen (sog. Rechtsgrundlagen) ausnahmsweise zulässig. Der räumliche Anwendungsbereich der DSGVO ist konkret in Art. 3 DSGVO geregelt. Länder, die nicht Mitgliedstaaten der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) sind, sind im Sinne der DSGVO Drittländer. Sollen personenbezogene Daten in ein Drittland übermittelt (Drittlandübermittlung) und ggf. weiterverarbeitet werden, ist es erforderlich, dass auch im jeweiligen Drittland ein angemessenes Datenschutzniveau besteht.
Um ein angemessenes Datenschutzniveau zu gewährleisten, dürfen Drittlandübermittlungen gem. DSGVO nur unter bestimmten Voraussetzungen durchgeführt werden. Diese sind in Art. 44 ff. DSGVO geregelt. Eine Drittlandübermittlung darf demnach beispielsweise in folgenden Fällen vorgenommen werden:
- auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO); oder,
- sofern der Verantwortliche oder der Datenempfänger geeignete (Sicherheits-)Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 Abs. 1 DSGVO).
Datenübermittlungen in die USA
Datentransfers in die USA konnten bis Mitte 2020 zumeist auf den Angemessenheitsbeschluss 2016/1250 der EU-Kommission für das sog. EU-U.S. Privacy Shield-Abkommen gestützt werden.
Allerdings erklärte der Europäischen Gerichtshof (EuGH) am 16. Juli 2020 den Privacy Shield-Beschluss 2016/1250 für unwirksam. Grund dafür waren insbesondere Zugriffs- und Einsichtsrechte US-amerikanischer Behörden, wie insbesondere der Geheimdienste. Die Konsequenz war, dass Datenübermittlungen in die USA, die sich ausschließlich auf das Privacy Shield-Abkommen stützten, mit sofortiger Wirkung eingestellt werden mussten bzw. anderenfalls rechtswidrig waren. Eine Übergangsfrist war nicht vorgesehen. Seither verblieb für Datenübermittlungen in die USA insbesondere der Abschluss sog. EU-Standardvertragsklauseln (Standard Contractual Clauses – kurz „SCC“) in Verbindung mit der Durchführung sog. Transfer Impact Assessments (kurz „TIA“) und der Implementierung ergänzender Schutzmaßnahmen als datenschutzrechtliche Rechtsgrundlage für die Datenübermittlung. In den meisten Fällen verblieb dabei dennoch eine gewisse Rechtsunsicherheit, da sich die Implementierung zusätzlicher geeigneter (Sicherheits-)Maßnahmen, die das angemessene Datenschutzniveau gewährleisten sollten, in der Praxis häufig als schwierig bis unmöglich erwies. Denn nur in wenigen Fällen ließen sich Zugriffe seitens US-Behörden durch solche Maßnahmen wirklich effektiv ausschließen.
Am 10. Juli 2023 hat die EU-Kommission nun mit der Annahme ihres Angemessenheitsbeschlusses für ein neues transatlantisches Datenschutzabkommen zwischen der EU und den USA (EU-U.S. Data Privacy Framework, kurz „EU-U.S. DPF“) wieder mehr Rechtssicherheit für Unternehmen in Bezug auf Datenübermittlungen in die USA geschaffen.
Datenübermittlungen unter dem EU-U.S. Data Privacy Framework
Der neue Angemessenheitsbeschluss tritt ab sofort ohne Übergangsfrist in Kraft. Personenbezogene Daten aus der EU können an EU-U.S. DPF-zertifizierte Empfänger in den USA übermittelt werden, ohne weitere datenschutzrechtliche Übermittlungsinstrumente (z.B. Standardvertragsklauseln und sog. Transfer Impact Assessments) oder zusätzliche Schutzmaßnahmen vorzusehen.
Übermittelnde EU-Unternehmen müssen vorab jedoch sicherstellen, dass der Datenempfänger in den USA zertifiziert ist. Informationen zu den Anforderungen und dem Prozess einer (Selbst-)Zertifizierung nach dem EU-U.S. DPF sowie eine Liste der zertifizierten U.S.-Unternehmen sind u.a. unter folgenden Websites der International Trade Administration (ITA) des U.S. Department of Commerce (DoC) verfügbar:
- https://www.dataprivacyframework.gov/s/participant-search
- https://www.dataprivacyframework.gov/s/key-requirements
- https://www.dataprivacyframework.gov/s/article/How-to-Join-the-Data-Privacy-Framework-DPF-Program-part-1-dpf
(letzter Aufruf jeweils am 25.08.2023)
Maßnahmen, die von übermittelnden EU-Unternehmen in diesem Rahmen getroffen werden sollten, sind insbesondere:
- die Prüfung, ob der jeweilige Empfänger nach dem EU-U.S.-Data Privacy Framework zertifiziert ist;
- die Prüfung, ob die jeweils relevanten Auftragsverarbeitungsverträge angepasst werden müssen;
- die Anpassung der jeweils relevanten Datenschutzhinweise für die betroffenen Personen;
- Gegebenenfalls die Anpassung der relevanten Dokumentationen, insbesondere im Verzeichnis der Verarbeitungstätigkeiten.
Ausblick
Abzuwarten bleibt, wie lange die neugewonnene Rechtssicherheit währt. Maximilian Schrems, ein österreichischer Datenschutzjurist, hat bereits angekündigt, das neue Abkommen vor dem EuGH aufgrund unwirksamer Schutzmaßnahmen anzufechten, wie er es bereits bei den vorangegangenen Abkommen „Safe Harbor“ und „Privacy Shield“ erfolgreich getan hatte.