Neuer Angemessenheitsbeschluss für die USA: EU-US Data Privacy Framework

Die EU-Kommission hat am 10. Juli 2023 einen neuen Angemessenheitsbeschluss für Datenübermittlungen in die USA erlassen. Das sog. EU-US Data Privacy Framework bringt neue Rechtssicherheit für den Datentransfer in die USA.

Hintergrund

Personenbezogene Daten dürfen grundsätzlich nur dann an Drittländer (Länder außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums) übermittelt werden, wenn das durch die Datenschutz-Grundverordnung gewährleistete Schutzniveau nicht unterschritten wird.

Das EU-US Data Privacy Framework ist der bereits dritte Versuch der USA und der EU einen rechtssicheren Datentransfer in die USA zu ermöglichen. Seit dem Schrems II Urteil aus dem Juli 2020 war ein solcher Transfer gerade nicht mehr auf Grundlage eines Angemessenheitsbeschlusses möglich. In dieser Entscheidung erklärte der Europäische Gerichtshof (EuGH) das Privacy Shield, der Nachfolger des Safe-Harbor Abkommens, für unwirksam. Eine Datenübermittlung war seitdem mit großer Rechtsunsicherheit verbunden. Personenbezogene Daten konnten nur noch auf Grundlage anderer Garantien, wie etwa Standardvertragsklauseln oder Binding Corporate Rules übermittelt werden. Dabei hatte der Verantwortliche dennoch stets zu prüfen, ob im Drittland ein gleichwertiges Schutzniveau vorherrscht oder ob gegebenenfalls zusätzliche Maßnahmen ergriffen werden müssen, um das angemessene Schutzniveau zu erreichen.

Der Angemessenheitsbeschluss

Der neue Angemessenheitsbeschluss soll vor allem den vom EuGH geäußerten Bedenken Rechnung zu tragen. Der Zugang von US-Geheimdiensten zu EU-Daten soll auf ein notwendiges und verhältnismäßiges Maß beschränkt werden und eine Art Gericht zur Datenschutzüberprüfung (Data Protection Review Court) geschaffen werden, zu dem Bürger der EU Zugang haben, so die Europäische Kommission.

Das EU-US Data Privacy Framework bringe erhebliche Verbesserungen gegenüber dem im Rahmen des Privacy Shields bestehenden Mechanismus mit sich.

Amerikanische Unternehmen müssen sich nach dem EU-US Data Privacy Framework zertifizieren. Dieses Verfahren ist bereits aus dem Privacy Shield bekannt. Unternehmen müssen sich beispielsweise verpflichten, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.

Neue Klage nur eine Frage der Zeit

Die Datenschutzorganisation NOYB und dessen Vorsitzender Max Schrems haben bereits angekündigt auch gegen das EU-US Data Privacy Framework klagen zu wollen. „Man sagt, die Definition von Wahnsinn ist, dass man immer wieder das Gleiche tut und dennoch ein anderes Ergebnis erwartet. Genau wie ‚Privacy Shield‘ basiert auch die jüngste Vereinbarung nicht auf materiellen Änderungen, sondern auf kurzfristigem politischen Denken.“

Für Unternehmen ist wichtig: Solange der EuGH den Angemessenheitsbeschluss nicht aufgehoben hat, ist er wirksam. Dies bleibt er, auch wenn Klage eingereicht wird. Dennoch sollten Unternehmen bei der Implementierung neuer Software bedenken, ob problemlos auf einen anderen Anbieter umgestellt werden könnte oder es sollte direkt ein europäischer Anbieter verwendet werden, um im Falle einer neuen EuGH Entscheidung reibungslos reagieren zu können.

Was müssen Unternehmen tun?

Unternehmen müssen prüfen, ob eingebundene US-Tools unter dem EU-US Data Privacy Framework zertifiziert sind. Der aktuelle Stand kann ab dem 17. Juli 2023 unter www.dataprivacyframework.gov/s/ eingesehen werden. Unter Umständen müssen Unternehmen ihre Datenschutzhinweise, Auftragsverarbeitungsverträge oder ihr Verarbeitungsverzeichnis anpassen.

Fazit

In den kommenden Jahren ist ein Datentransfer in die USA rechtssicher möglich. Bis der EuGH über den neuen Angemessenheitsbeschluss entscheidet werden noch einige Jahre vergehen.

Dennoch sollten Unternehmen den Angemessenheitsbeschluss nicht zum Anlass nehmen, künftig nur noch auf Anbieter aus den USA zurückzugreifen, sondern weiterhin genau überprüfen, ob ein Transfer in die USA tatsächlich notwendig ist und sich ggf. nach europäischen Alternativen umsehen.