Die Fragen, wann und wie Daten in den USA DSGVO-konform verarbeitet werden können, ist für nahezu jedes digitalgetriebenes Unternehmen von hoher Bedeutung: Ob API-Dienste, Clouddienste, CRM-Systeme oder Social Media Dienste. Die Liste von amerikanischen Softwarediensten ist lang.
Ist die Verarbeitung der Daten nicht im Rahmen der DSGVO zulässig, dürfen diese Dienste nicht für personenbezogene Daten genutzt werden. Ein Angemessenheitsbeschluss soll die Unsicherheiten nun lösen.
Was ist der Angemessenheitsbeschluss?
Der neue Angemessenheitsbeschluss der EU-Kommission für Datenübermittlungen in die USA, der am 10.6.2023 verabschiedet wurde, dürfte erhebliche Auswirkungen auf diejenigen haben, die personenbezogene Daten in die USA übermitteln. Obwohl dieser Beschluss vorerst eine rechtliche Unsicherheit beendet hat, bestehen weiterhin rechtliche Risiken. Es muss nicht nur bei der Umsetzung des Beschlusses einiges beachtet werden, sondern es ist auch unsicher, ob der Beschluss einer Überprüfung durch den Europäischen Gerichtshof (EuGH) standhalten wird.
Die Datenschutz-Grundverordnung (DSGVO) zielt darauf ab, ein hohes Maß an Sicherheit bei der Verarbeitung personenbezogener Daten zu gewährleisten.
Um zu verhindern, dass Verantwortliche und Auftragsverarbeiter ihren datenschutzrechtlichen Pflichten entgehen, indem sie personenbezogene Daten in Drittländer exportieren, sieht die DSGVO explizite Regelungen zur Drittlandübermittlung vor. Gemäß Artikel 45 DSGVO ist der Transfer personenbezogener Daten in ein Drittland zulässig, wenn die Europäische Kommission einen Angemessenheitsbeschluss erlassen hat. In diesem Fall ist keine besondere Genehmigung erforderlich.
Wie kam es zum Angemessenheitsbeschluss?
Die Entscheidung des EuGH in der sogenannten Schrems-II-Entscheidung im Juni 2020, mit der der vorherige Angemessenheitsbeschluss der Kommission für die USA für ungültig erklärt wurde, führte zu erheblicher Rechtsunsicherheit.
Daher ist es zu begrüßen, dass die Kommission am 10.7.2023 einen neuen Angemessenheitsbeschluss für Datenübermittlungen in die USA erlassen hat, in dem festgestellt wird, dass die USA ein angemessenes Schutzniveau für die Datenverarbeitung bieten. Das EU-U.S. Data Privacy Framework bildet die Grundlage für diesen Beschluss.
Dennoch bleiben einige Fallstricke für Verantwortliche bestehen. Darüber hinaus besteht die Möglichkeit, dass der EuGH den Beschluss erneut aufheben wird.
Aufgrund der engen wirtschaftlichen, politischen und strategischen Beziehungen zwischen der EU und den USA sind transatlantische Datenübermittlungen von großer Bedeutung. Daher ist es im Eigeninteresse der EU, dass Verantwortliche und Auftragsverarbeiter eine einfache Möglichkeit haben, personenbezogene Daten in die USA zu übermitteln.
In der Vergangenheit gab es bereits zwei Angemessenheitsbeschlüsse für die USA, die beide vom EuGH für ungültig erklärt wurden. Mit der Schrems-II-Entscheidung setzte der EuGH den bisherigen Angemessenheitsbeschluss aufgrund des „EU-U.S. Privacy Shield“ außer Kraft. Das Gericht prüft, ob im Drittland tatsächlich ein angemessenes Schutzniveau für personenbezogene Daten besteht. Dabei werden insbesondere Aspekte wirksame
- gerichtliche Rechtsbehelfe für Betroffene und
- die Existenz unabhängiger Aufsichtsbehörden
berücksichtigt. Nach Ansicht des EuGH erfüllte die rechtliche Situation in den USA diese Anforderungen nicht, insbesondere aufgrund der weitreichenden Befugnisse der US-Nachrichtendienste und des Fehlens wirksamer gerichtlicher Rechtsbehelfe zum Schutz von EU-Bürgern.
Die Schrems-II-Entscheidung führte zu erheblichen rechtlichen Problemen. Unternehmen mussten ihre Datenübermittlungen entweder auf andere Garantien stützen oder aussetzen.
Zwischenlösung SCC
Eine mögliche Lösung waren die sogenannten Standardvertragsklauseln (SCC), die von der EU-Kommission erlassen werden und von Datenexporteuren und Datenimporteuren vereinbart werden können. Der EuGH anerkannte die Verwendung von SCC als mögliche Methode, um eine rechtskonforme Drittlandübermittlung in die USA sicherzustellen, stellte jedoch zusätzliche Anforderungen auf. Es muss in einer Einzelfallanalyse geprüft werden, ob das Schutzniveau in den USA allein auf der Grundlage der SCC dem europäischen Schutzniveau entspricht. Die aktuellen SCC bestehen aus 18 Klauseln, aus denen die Vertragsparteien die für ihre Situation passenden Klauseln auswählen müssen. Nach der Schrems-II-Entscheidung müssen Datenexporteure zudem ein „Transfer Impact Assessment“ (TIA) durchführen, um die Einhaltung der Einzelfallanalyse nachzuweisen. Die Durchführung dieses Assessments stellt Datenexporteure vor erhebliche praktische Probleme, da konkrete Vorgaben fehlen.
Angesichts der praktischen Probleme und der Bedeutung der Datenübermittlung in die USA haben die EU-Kommission und die US-Regierung Verhandlungen aufgenommen, um die Grundlage für einen neuen Angemessenheitsbeschluss zu schaffen. Schon im März 2022 wurde eine erste Einigung erzielt. Das EU-U.S. Data Privacy Framework umfasst Maßnahmen, die die Kritikpunkte des EuGH ansprechen sollen. Es handelt sich dabei nicht um einen bindenden Vertrag, sondern um Zusicherungen, auf deren Grundlage der neue Angemessenheitsbeschluss erlassen wurde.
Eine wichtige Komponente des EU-U.S. Data Privacy Frameworks ist dabei die „Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities“ (EO 14086). Diese Executive Order führte Schutzmaßnahmen für den Zugang der US-Geheimdienste zu europäischen personenbezogenen Daten und neue Rechtsschutzmöglichkeiten ein. Sie enthält unter anderem
- eine Verhältnismäßigkeitsprüfung und
- neue Rechtsbehelfsmechanismen.
Die Einführung der Verhältnismäßigkeitsprüfung in das US-amerikanische Recht und die Etablierung neuer Rechtsbehelfe waren direkte Reaktionen auf die Kritik des EuGH an staatlichen Zugriffen auf personenbezogene Daten. Ob diese Neuerungen den Anforderungen des EuGH entsprechen, ist noch umstritten. Die EO 14086 führte zu unterschiedlichen Meinungen innerhalb der deutschen Datenschutzaufsichtsbehörden.
Ein wesentlicher Fortschritt des EU-U.S. Data Privacy Frameworks ist die Einführung eines neuen Rechtsbehelfssystems, bei dem zunächst
- eine Beschwerde bei dem Civil Liberties Protection Officer (CLPO) und
- anschließend beim Data Protection Review Board (DPRC)
eingereicht werden kann. Diese neuen Rechtsbehelfe sollen sicherstellen, dass EU-Bürgern wirksame Schutzmaßnahmen zur Verfügung stehen. Ob dies die Anforderungen der DSGVO jedoch ausreichend erfüllt, ist nicht unumstritten.
Wann der Angemessenheitsbeschluss greift – und wann nicht
Der Angemessenheitsbeschluss gilt nicht für die USA im Allgemeinen, sondern nur für Organisationen in den USA, die in der „Data Privacy Framework List“ des U.S. Department of Commerce (DOC) aufgeführt sind.
Unternehmen, die bereits unter dem EU-U.S. Privacy Shield zertifiziert waren, wurden automatisch in die neue Liste übernommen. Datenexporteure müssen überprüfen, ob der Datenimporteur zertifiziert ist und ob die Übermittlung von Daten durch die Zertifizierung abgedeckt ist.
Es ist ratsam, dass Datenexporteure prüfen, ob sie tatsächlich personenbezogene Daten in die USA übermitteln. Wenn dies der Fall ist, sollten sie
- ihre Datenschutzerklärung anpassen und
- sicherstellen, dass der Datenimporteur zertifiziert ist.
Reicht der Beschluss aus?
Der Angemessenheitsbeschluss ist eine Antwort auf den konsequent hochgehaltenen Datenschutz durch den EuGH. Doch erfüllt der Beschluss nun die Anforderungen der DSGVO?
Es besteht die Möglichkeit, dass der EuGH den Angemessenheitsbeschluss erneut aufhebt. Datenexporteure sollten daher bereits jetzt Maßnahmen ergreifen und alternative Garantien für den Datentransfer in die USA in Betracht ziehen.
Es empfiehlt sich deshalb, mit dem zertifizierten Datenverarbeiter zusätzlich Standardvertragsklauseln abzuschließen.
Aus Compliance-Sicht empfiehlt sich jedoch nur, wann immer möglich auf Unternehmen zurückzugreifen, die unmittelbar der DSGVO unterliegen.
Andernfalls verbleiben aktuell Restrisiken durch die Beurteilung des Angemessenheitsbeschlusses durch den EuGH, die zu Lasten der des Datenexporteurs gehen.
