Aller guten Dinge sind drei – Das „EU-US Data Privacy Framework”

veröffentlicht am 2. November 2023

Am 10.7.2023 hat die EU-Kommission einen neuen Angemessenheitsbeschluss zum sicheren Datentransfer zwischen den USA und der EU erlassen. Nach drei Jahren Rechtsunsicherheit für alle (Immobilien-)Unternehmen, die Daten in die USA übermitteln, dürfte dies eine zu begrüßende Entwicklung sein. Dennoch bestehen weiterhin einige Fallstricke für datenschutzrechtlich Verantwortliche. Zumal über dem neuen Angemessenheitsbeschluss erneut das Damoklesschwert einer Klage von Maximilian Schrems schwebt und es somit eventuell nur eine Frage der Zeit ist, bis der EuGH auch diesen Beschluss aufheben wird.

Viele (Immobilien-)Unternehmen setzen in ihrem Arbeitsalltag auf die Dienstleistungen von US-Unternehmen. Daten werden in einer Cloud gespeichert, das Tracking-Tool Google Analytics wird auf der eigenen Webseite eingesetzt, man ist in den sozialen Netzwerken aktiv oder das Videokonferenzsystem eines US-Anbieters wird genutzt, um nur ein paar Beispiele zu nennen.

Durch das „Schrems II”-Urteil des EuGHs vom 16.7.2020 herrschte jedoch von einem Tag auf den anderen Tag Unsicherheit dahingehend, ob und unter welchen Voraussetzungen Datenübertragungen in die USA noch rechtlich zulässig waren. Mit dem Erlass des neuen Angemessenheitsbeschlusses der EU-Kommission am 10.7.2023 endete nun eine knapp drei Jahre anhaltende Hängepartie.

Auf Grundlage des Data Privacy Frameworks ist nunmehr wieder eine Datenübermittlung in die USA möglich, genauer an US-Unternehmen, die den hierfür erforderlichen Selbstzertifizierungsprozess durchlaufen haben.

Es handelt sich hierbei um eine niederschwellige Möglichkeit zur rechtssicheren Übermittlung von personenbezogenen Daten in die USA, denn anders als bei der Übermittlung auf Grundlage der Standardvertragsklauseln ist weder eine Risikobewertung (sog. transfer impact assessment) erforderlich, noch müssen zusätzliche Maßnahmen ergriffen werden, um die Daten in den USA besonders zu schützen.

Inhalt des neuen Angemessenheitsbeschlusses

Das EU-US Data Privacy Framework enthält dabei Regelungen, die US-Unternehmen zur Einhaltung von an die DSGVO angelehnten Datenschutzgrundsätzen (z. B Erforderlichkeitsgrundsatz und Transparenzgebot) einschließlich der Erfüllung von Betroffenenrechten verpflichten.

Außerdem soll ein neues zweistufiges Rechtsbehelfssystem sicherstellen, dass betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Zur rechtlichen Absicherung der Grundprinzipien des EU-US Data Privacy Framework erlies der US-Präsident außerdem ein entsprechendes Dekret („Executive Order”), das den Zugriff der US-Geheimdienste auf europäische personenbezogene Daten beschränkt. Die Beachtung dieser Schutzmaßnahmen können Betroffene von in den USA neu eingerichteten unabhängigen Stellen im Einzelfall überprüfen lassen.

Erforderlichkeit der Zertifizierung nach dem Data Privacy Framework

Der Angemessenheitsbeschluss gilt allerdings nicht für die USA insgesamt, sondern lediglich für diejenigen Unternehmen in den USA, die sich unter dem Data Privacy Framework speziell zertifizieren lassen. Welche Unternehmen das konkret sind, können Sie der „Data Privacy Framework List” des US-Handelsministeriums (DOC) entnehmen.

Handlungsempfehlung für Datenexporteure

Unternehmen sollten sich zunächst einmal ihre externen Datenflüsse genauer ansehen. Soweit Daten an Empfänger mit Sitz in den USA übermittelt werden, sollte anhand der „Data Privacy Framework List” des DOC geprüft werden, ob es sich bei dem Datenimporteur um ein zertifiziertes Unternehmen handelt und falls ja, ob die Zertifizierung auch diejenige Kategorie von Daten erfasst, die im entsprechenden Vertragsverhältnis verarbeitet wird.

Überprüft werden sollte darüber hinaus, ob in den eigenen Datenschutzerklärungen Anpassungen erforderlich sind. Die Informationspflicht nach Art. 13, 14 DSGVO umfasst nämlich auch die Mitteilung, ob der Verantwortliche die Absicht hat, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln und zugleich die Information, ob ein Angemessenheitsbeschluss der Kommission vorhanden ist oder nicht. Sofern Unternehmen ihre Datenübermittlungen in die USA nunmehr auf das EU-US Data Privacy Framework stützen wollen, muss hierauf in der Datenschutzerklärung hingewiesen werden.

Entscheidend ist außerdem, dass die Rechtmäßigkeit der Datenübermittlung sich nicht allein nach dem Vorliegen eines Angemessenheitsbeschlusses richtet. Zu beachten sind weiterhin die allgemeinen Datenschutzgrundsätze, insbesondere das Erfordernis einer Rechtsgrundlage.

Weiterhin ist zu empfehlen, dass die „Data Privacy Framework List” des DOC regelmäßig überprüft wird, um sicherzustellen, dass die Zertifizierung (fort-)besteht. Dies gilt nicht zuletzt bereits deshalb, weil für US-Unternehmen, die bereits nach dem Privacy Shield zertifiziert waren, eine Übergangsregelung vorgesehen ist. Damit die Zertifizierung aufrecht erhalten bleibt, müssen sie spätestens drei Monate nach Inkrafttreten des neuen Angemessenheitsbeschlusses, also bis zum 10.10.2023, ihre Datenschutzerklärung anpasst haben.

„Schrems III” - nur eine Frage der Zeit?

Es bleibt abzuwarten, ob dieser Angemessenheitsbeschluss langfristig Bestand haben wird. Der Datenschutzaktivist Maximilian Schrems hat bereits unmittelbar nach Erlass des Beschlusses angekündigt, Klage einreichen zu wollen. In diesem Fall wäre es erneut am EuGH festzustellen, ob das Data Privacy Framework ein angemessenes Schutzniveau im Sinne der DSGVO garantiert.

Fazit

Der neue Angemessenheitsbeschluss stellt eine rechtssichere Grundlage für Datenübermittlungen in die USA dar und entlastet Unternehmen von aufwändigen Prüfungen der US-amerikanischen Rechtslage. Allerdings nur dann, wenn das US-Unternehmen, an das Daten übermittelt werden sollen, eine entsprechende Zertifizierung aufweist. Andernfalls sind weiterhin Standardvertragsklauseln abzuschließen und zu überprüfen, ob aufgrund der zusätzlich ergriffenen Maßnahmen das europäische Datenschutzniveau auch im Drittland erreicht werden kann.

Zudem bleibt abzuwarten, ob das Data Privacy Framework einer Prüfung durch den EuGH standhalten kann.

Zur eigenen Absicherung empfiehlt es sich jedoch, weiterhin auf die Standardvertragsklauseln zu setzen und so weit wie möglich zusätzliche Schutzmaßnahmen zu treffen. Sollte es im Ernstfall zu einem Schrems III-Urteil kommen, könnte so eine Übermittlung ohne Weiteres auf andere Garantien umgestellt werden.