Datenübermittlung in die USA - ein neuer Angemessenheitsbeschluss

Das lange Zeit unter dem Namen Trans Atlantic Data Privacy Framework - TADPF geführte Projekt der EU-Kommission und der USA zur Einführung eines neuen Angemessenheitsbeschlusses (wir berichteten: TADPF bzw. Privacy Shield 2.0 - Cloudanwendungen und DSGVO - UPDATE - Aktueller Stand - Einschätzung von DURY LEGAL) ist sehr kurzfristig abgeschlossen worden.

Seit heute (11.07.2023) gilt der neue Angemessenheitsbeschluss zwischen den USA und der Europäischen Union.

Aufgrund der Fülle und der Kürze der Zeit kann an dieser Stelle nur ein erster grober Überblick über die neuen Regelungen des Angemessenheitsbeschlusses gegeben werden. Wir werden diesen Blogbeitrag von Zeit zu Zeit aktualisieren.

Was ist überhaupt ein Angemessenheitsbeschluss?

Mit einem Angemessenheitsbeschluss nach Art. 45 DSGVO können personenbezogene Daten frei und „sicher“ aus dem Europäischen Wirtschaftsraum (EWR), der die 27 EU-Mitgliedstaaten sowie Norwegen, Island und Liechtenstein umfasst, in ein Drittland übermittelt werden, ohne dass zusätzliche Bedingungen oder Genehmigungen erforderlich sind.

Mit anderen Worten: Die Datenübermittlung in ein Drittland kann genauso behandelt werden wie die Übermittlung personenbezogener Daten innerhalb des EWR.

Warum war dies notwendig?

Die Übermittlung personenbezogener Daten in die USA ist spätestens seit dem Schrems II-Urteil des EuGH (Urteil vom 16.07.2020 "Schrems II" (C 311/18)) rechtlich höchst problematisch (vgl. Schrems II, Privacy Shield, EuGH - Unsicherheit bei der Datenübermittlung in die USA). An diesem Tag kippte der Europäische Gerichtshof das bis dahin geltende EU-US Privacy Shield, da das Schutzniveau in den USA als nicht ausreichend angesehen wurde.

Die vom Gesetz geforderte „wesentliche Gleichwertigkeit“ des Schutzniveaus konnte aufgrund verschiedener Aspekte wie weitreichender Auskunftsrechte, fehlender Kontroll- und Beschwerdemöglichkeiten und anderer Hürden nicht erreicht werden.

Was beinhaltet der neue Angemessenheitsbeschluss?

Der 137 Seiten umfassende Angemessenheitsbeschluss (https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework.pdf) besteht aus 223 einzelnen Begründungen und Regelungen, 4 Artikeln und 7 Anhängen.

Der Angemessenheitsbeschluss enthält insbesondere die Anforderungen, Beschränkungen und Garantien für den Zugang von US-Behörden zu personenbezogenen Daten für Zwecke der Strafverfolgung und der nationalen Sicherheit.

Der Datenschutzrahmen räumt EU-Bürgern, deren Daten an die am Datenschutzrahmen teilnehmenden Unternehmen in den USA übermittelt werden, neue Rechte ein. Dazu gehören das Recht auf Zugang zu ihren personenbezogenen Daten und das Recht auf Berichtigung oder Löschung falscher oder unrechtmäßig verarbeiteter Daten. Darüber hinaus bietet er verschiedene Möglichkeiten zur Durchsetzung dieser Rechte, einschließlich kostenloser unabhängiger Streitbeilegungsmechanismen und eines Schlichtungsgremiums.

US-Unternehmen können ihre Teilnahme am EU-US-Datenschutzrahmen zertifizieren lassen, indem sie sich zur Einhaltung bestimmter Datenschutzregeln verpflichten. Dazu gehören Grundsätze wie Zweckbindung, Datenminimierung und Aufbewahrungsfristen sowie Verpflichtungen zur Datensicherheit und zur Weitergabe von Daten an Dritte.

Der Datenschutzrahmen wird vom US-Handelsministerium verwaltet. Es bearbeitet die Zertifizierungsanträge der Unternehmen und überwacht die Einhaltung der Zertifizierungsanforderungen. Die US Federal Trade Commission ist für die Durchsetzung der Verpflichtungen zuständig, die sich für US-Unternehmen aus dem EU-US-Datenschutzrahmen ergeben.

Grundlage für die Anpassungen ist unter anderem die von Präsident Biden am 7. Oktober unterzeichnete Executive Order on 'Enhancing Safeguards for United States Signals Intelligence Activities'.
In diesem Zusammenhang wurden folgende Maßnahmen ergriffen (vgl. https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752):

• Es werden verbindliche Garantien festgelegt, die den Datenzugriff der US-Nachrichtendienste auf das für den Schutz der nationalen Sicherheit erforderliche und angemessene Maß beschränken.
• Es wird eine verstärkte Aufsicht über die Aktivitäten der US-Nachrichtendienste eingeführt, um sicherzustellen, dass die Beschränkungen für Überwachungsmaßnahmen eingehalten werden.
• Es wird ein unabhängiger und unparteiischer Rechtsbehelfsmechanismus eingerichtet, der auch ein neues Datenschutzgericht umfasst. Dieser Mechanismus wird Beschwerden über den Zugriff auf personenbezogene Daten durch die nationalen Sicherheitsbehörden der USA prüfen und entsprechende Entscheidungen treffen.

Was bedeutet dies für mich als Unternehmen?

Die Zertifizierung nach dem neuen Data Privacy Framework (kurz DPF) ist kein Selbstläufer. Es ist also nicht so, dass Unternehmen, die bereits nach dem Privacy Shield zertifiziert sind, automatisch auch nach dem DPF zertifiziert sind. Dies ergibt sich auch aus den entsprechenden FAQ (vgl. https://www.privacyshield.gov/article?id=EU-U-S-Privacy-Shield-Program-Update). US-Unternehmen, die bereits unter dem Privacy Shield zertifiziert sind, haben nun 3 Monate Zeit, die DPF-Prinzipien umzusetzen (z.B. Anpassung der Datenschutzerklärung und der Richtlinien). Erst wenn diese umgesetzt sind, können die Datenübermittlungen auf Basis des neuen DPF erfolgen.

Eine Liste der DPF-zertifizierten Unternehmen wird in Kürze erwartet.

Aufgrund der Kürze der Zeit müssen Übermittlungen in die USA weiterhin genau geprüft und klassifiziert werden. Sind Unternehmen nicht oder noch nicht zum DPF registriert, sollten die bisher verwendeten Standardvertragsklauseln und erstellten Transfer Impact Assessments weiterhin vorgehalten werden.

Anbieter die derzeit im EU-US Privacy Shield weiter freiwillig zertizifiert sind, können sich bei Einhaltung und Verpflichtung auf die neuen Regelungen des DPF dem DPF anschließen.

Wird der neue Datenschutzrahmen bald wieder aufgehoben?

Wie nicht anders zu erwarten, hat die Organisation non of your business, der auch der Datenschutzaktivist Max Schrems angehört, eine ausführliche Stellungnahme zum neuen Entwurf veröffentlicht (https://noyb.eu/en/european-commission-gives-eu-us-data-transfers-third-round-cjeu), in der sie bereits ankündigt, gegen die neuen Regelungen vorgehen zu wollen.

Tatsächlich spricht auch diesmal einiges dafür, dass das neue Abkommen gekippt werden könnte. Bis zu einer Entscheidung können jedoch wieder einige Jahre vergehen, in denen sich Unternehmen, die personenbezogene Daten in die USA übermitteln, auf die neuen Schutzmechanismen berufen können. Mit einer Entscheidung ist nicht vor 2025 zu rechnen, da die ausführlichen Erläuterungen der Kommission viele neue Aspekte und Umsetzungen enthalten, die alle einzeln geprüft werden müssen.

Fazit

Der neue Angemessenheitsbeschluss für die USA bietet für viele Unternehmen die Chance, ihre Datenverarbeitung wieder auf "rechtlich sichere Füße" zu stellen. Es bleibt abzuwarten, welche Unternehmen sich im Rahmen des neuen DPF registrieren lassen und wie die Umsetzung der zahlreichen Zusagen und Vorgaben des Angemessenheitsbeschlusses erfolgt.

Für alle Akteure, die personenbezogene Daten in die USA übermitteln, gilt es, die Entwicklungen hinsichtlich der Zertifizierung und Umsetzung der US-Unternehmen zu beobachten. Sofern ein Empfänger unter den Angemessenheitsbeschluss fällt, sind die Datenschutzerklärungen, das Verarbeitungsverzeichnis und ggf. weitere Dokumente zum Datenschutz anzupassen.

Bis zur Zertifizierung sollten die bisherigen Regelungen beibehalten werden.