Datentransfers an US-Unternehmen nach DSGVO Neuer Angemessenheitsbeschluss der EU für Datenübermittlung in die USA
Am 10. Juli 2023 hat die Europäische Kommission einen neuen Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten erlassen. Auf Grundlage dieses Beschlusses können personenbezogene Daten aus der EU an zertifizierte US-Unternehmen übermittelt werden, ohne dass weitere Maßnahmen erforderlich sind.
1. Hintergrund
Der Art. 45 der Datenschutzgrundverordnung (DSGVO) eröffnet der Europäischen Kommission die Möglichkeit, einem Drittland ein angemessenen Schutzniveau in Hinsicht auf den Schutz personenbezogener Daten zu attestieren. Voraussetzung ist, dass das Schutzniveau mit dem der EU vergleichbar ist. Auf Grundlage eines solchen Beschlusses, dürfen personenbezogene Daten an ein Drittland übermittelt werden, ohne dass weitere Schutzmaßnahme erforderlich sind.
Der vorherige Angemessenheitsbeschluss zum Datenschutzrahmen zwischen EU und USA hatte der Europäische Gerichtshof (EuGH) am 16. Juli 2020 für ungültig erklärt. Daraufhin folgten Gespräche zwischen der Europäischen Kommission und der US-Regierung zur Erstellung eines neuen Rahmens. Dies mündete in einer am 25. März 2022 veröffentlichten Erklärung, in der beide Parteien gemeinschaftlich erklärten, einen Vereinbarung (EU-US Data Privacy Framework) getroffen zu haben, die die Bedenken des EuGH ausräumen sollen.
Am 07. Oktober 2022 unterzeichnete US-Präsident Joe Biden eine Executive Order, durch die die Verpflichtungen aus dem EU-US Data Privacy Framework mit der EU in US-Recht umgesetzt wurden.
Am 10. Juli 2024 folgte nun der Beschluss der Europäischen Kommission, welcher attestiert, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an zertifizierte US-Unternehmen übermittelt werden.
2. Zertifizierung von US-Unternehmen
Von der erleichterten Übermittlung personenbezogener Daten dürfen ausschließlich US-Unternehmen profitieren, die nach dem EU-US Data Privacy Framework zertifiziert sind. Dafür müssen sich die Unternehmen zur Einhaltung von Datenschutzvorschriften verpflichten, die vom US-Handelsministerium herausgegeben werden. Dieses hat ferner eine Liste von zertifizierten Unternehmen veröffentlicht. Die US-amerikanische Federal Trade Commission soll die Einhaltung der Vorschriften überprüfen.
3. Was gilt für Unternehmen ohne Zertifizierung?
Datentransfers an US-Unternehmen ohne Zertifizierung nach dem EU-US Data Privacy Framework sind nicht vom Angemessenheitsbeschluss umfasst. Für solche Datenübermittlungen werden geeignete Garantien nach Art. 46 DS-GVO benötigt, sofern im Einzelfall kein Ausnahmetatbestand nach Art. 49 DSGVO vorliegt. Der EU-US Data Privacy Framework stellt jedoch Standardvertragsklauseln und verbindliche interne Datenschutzvorschriften bereit, die geeignete Garantien nach Art. 46 DSGVO darstellen.
4. Rechte der EU-Bürger
Die wesentlichen Bedenken des EuGH bestanden in den umfangreichen Zugriffsmöglichkeiten von US-Nachrichtendiensten auf die übertragenen personenbezogenen Daten. Dieser Zugang soll nun durch das EU-US Data Privacy Framework auf ein notwendiges und verhältnismäßiges Maß beschränkt werden.
Um einen rechtmäßigen Umgang der US-Nachrichtendienste mit den Daten von EU-Bürgern zu gewährleisten, ist ein unabhängiges und unparteiisches Rechtsbehelfsverfahren vorgesehen, auf das Einzelpersonen in der EU zurückgreifen können. Für dieses Verfahren soll ein neues Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) errichtet werden, das etwaige Beschwerden unabhängig untersuchen und beilegen soll, unter anderem durch die Anordnung verbindlicher Abhilfemaßnahmen (wie die Anordnung der Löschung der Daten).
5. Ausblick
Die Europäische Kommission und zuständigen US-Behörden haben sich darauf verständigt, die Funktionsweise des Datenschutzrahmens regelmäßig zu überprüfen. Die erste Überprüfung ist ein Jahr nach Inkrafttreten des Beschlusses vorgesehen. Anhand dessen wird sich zeigen, ob die Vereinbarungen vollständig ins US-Recht umgesetzt wurden und auch in der Praxis tatsächlich Anwendung finden.
Ferner ist zu erwarten, dass sich Betroffene an den EuGH wenden, um den Angemessenheitsbeschluss beruhend auf dem EU-US Data Privacy Framework gerichtlich zu überprüfen. Womöglich droht dann wie im Juli 2020, dass der Angemessenheitsbeschluss für unwirksam erklärt wird. Aber bis zu einer solchen Entscheidung können Datentransfers jedenfalls auf den aktuellen Angemessenheitsbeschluss gestützt werden.