Angemessenheitsbeschluss der EU-Kommission zu USA – Übermittlung von personenbezogenen Daten an viele US-Unternehmen endlich wieder rechtssicher möglich

Was ist passiert?
Die Übermittlung von Daten in Länder mit niedrigerem Datenschutzniveau als in der EU – wie etwa bislang die USA – ist grundsätzlich verboten. Die Europäische Kommission hat nun am Montag, den 10.07.2023 einen Angemessenheitsbeschluss für einen sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA erlassen.

Welche Bedeutung und welchen Hintergrund hat das?

Neben der Verarbeitung personenbezogener Daten innerhalb der EU und der Nichtmitgliedsstaaten Norwegen, Liechtenstein und Island (Zweitländer) sieht die Datenschutz-Grundverordnung auch eine Regelung für den Datentransfer in Drittländer vor.

Nach Artikel 45 Absatz 3 DSGVO kann die Kommission im Wege eines Angemessenheitsbeschlusses verbindlich feststellen, dass ein Drittland ein „angemessenes Schutzniveau“ bietet, das heißt der Schutz personenbezogener Daten dem in der EU gebotenen Schutz der Sache nach gleichwertig ist. Liegt ein solcher Beschluss vor, so dürfen personenbezogene Daten auf der Basis der DSGVO an ein Unternehmen in einem Drittland unter denselben Voraussetzungen übermittelt werden, wie an ein in der EU ansässiges Unternehmen. Es bedarf daher keiner weiterer zusätzlicher Schutzmaßnahmen mehr, deren Ausgestaltung bislang schwierig und mit großer Rechtsunsicherheit behaftet war.

Zuletzt 2016 legte die Europäische Kommission durch den sogenannten Privacy Shield einen derartigen Angemessenheitsbeschluss in Bezug auf die USA vor, welcher aber anlässlich eines Vorgehens des österreichischen Datenaktivisten Maximilian Schrems vom EuGH im Jahr 2020 für ungültig erklärt wurde – wie schon das vorherige Abkommen namens Safe Harbor im Jahr 2015.

Die Europäische Kommission erarbeitete daraufhin zusammen mit der US-amerikanischen Regierung ein neues Abkommen mit dem Namen „EU-US Data Privacy Framework“, welches den Defiziten nachkommen soll, die der EuGH in seinem Urteil bemängelt hatte. Auf dieses Abkommen bezieht sich der aktuelle Angemessenheitsbeschluss der EU-Kommission.

Was ist neu? Wer darf personenbezogene Daten in den USA speichern und verarbeiten?

Wichtig ist, dass sich der Angemessenheitsbeschluss der EU-Kommission nicht auf die USA als solche bezieht, sondern auf das EU-US Data Privacy Framework und damit nur auf solche Unternehmen, die diesem Rahmenwerk beigetreten sind. Hierzu müssen sich US-Unternehmen zur Einhaltung detaillierter Datenschutzpflichten verpflichten und werden dann in einem Register eingetragen, das unter https://www.dataprivacyframework.gov/s/participant-search einsehbar ist. Wenn also ein Vertragspartner eines EU-Unternehmens in dieses Register eingetragen ist, können diesem personenbezogene Daten auf dieselbe Weise zugänglich gemacht werden, wie einem europäischen Vertragspartner. Insbesondere das Problem der Einbeziehung zahlreicher US-Dienstleistern im Softwarebereich, beispielsweise bei der Nutzung von SaaS-Systemen, lässt sich damit nun wieder rechtssicher gestalten. Hierzu zählen beispielsweise Microsoft, Google und Amazon – nicht jedoch etwa Apple.

Welche Folgen hat der Beschluss?

Es wird wieder eine Rechtsgrundlage für den transatlantischen Datenverkehr in die USA geschaffen, wodurch dieser erheblich erleichtert wird. Bei der Einbeziehung von US-Dienstleistern, die dem EU-US Data Privacy Framework beigetreten sind, haben EU-Unternehmen jedenfalls deshalb kein Vorgehen von Datenschutz-Aufsichtsbehörden oder Abmahnungen zu befürchten. Bisherige Maßnahmen, wie etwa Standarddatenschutzklauseln, die zur Anfertigung eines aufwändigen Transfer Impact Assessments verpflichteten, entfallen insoweit. Noch im März 2023 hatte das LG Köln etwa auf Klage der Verbraucherzentrale NRW hin zu Lasten der Deutschen Telekom entschieden, dass der Einsatz von Google Analytics allein des Datentransfers in die USA halber rechtswidrig ist. Der Einsatz von Google Analytics wird zwar weiterhin einer datenschutzrechtlichen Ausgestaltung bedürfen. Allerdings stellt der Aspekt des Datentransfers in die USA aktuell nun kein Problem mehr dar.

Wie ist der Schutz der Daten ausgestaltet und wie wird damit den Bedenken des EuGH begegnet?

US-Behörden können zwar weiterhin zum Zwecke der Strafverfolgung und der nationalen Sicherheit auf personenbezogene Daten zugreifen, die in den USA gespeichert werden. Diese Zugriffsmöglichkeit wird aber auf das „notwendige und verhältnismäßige Maß“ beschränkt.

Regelmäßige Kontrollen durch Europäische Kommission, Vertreter der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden sollen sicherstellen, dass alle Anforderungen des neuen Datenschutzrahmens vollständig erfüllt werden und in der Praxis auch tatsächlich ihre Wirksamkeit entfalten.

Der bislang fehlenden unabhängigen gerichtlichen Kontrolle von Datenzugriffen wird dadurch begegnet, dass in den USA ein neues Gericht namens Data Protection Review Court geschaffen wird. Dieses ermöglicht Bürgerinnen und Bürgern der EU eine kostenlose Datenschutzüberprüfung. Stellt es fest, dass bei einer Datenerhebung gegen die neuen Garantien verstoßen wurde, kann es verbindliche Abhilfemaßnahmen, insbesondere die Löschung der Daten anordnen.

Nichtsdestotrotz hat Herr Schrems bereits angekündigt, erneut vor dem EuGH Klage erheben zu wollen. Die neue Vereinbarung sei „weitgehend eine Kopie alter Prinzipien“ und bringe keinen ausreichenden Schutz, weil die USA und die EU ein unterschiedliches Verständnis davon hätten, was „verhältnismäßig“ sei.

Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) stellt zwar einerseits fest: „Für Betroffene und Datenexporteure besteht damit jetzt erst einmal Rechtssicherheit.“ Andererseits äußert er auch Bedenken: „Ob dieses Abkommen die beschriebenen Probleme lösen oder ob sich der Streit bis hin zu einer ‚Schrems III‘-Entscheidung fortsetzen wird, ist derzeit unklar und bleibt daher abzuwarten.“

Fazit

Derzeit besteht für EU-Unternehmen ausreichend Rechtssicherheit beim Datentransfer an Unternehmen in den USA, die dem EU-US Data Privacy Framework beigetreten sind. Ob überhaupt eine Klage hiergegen erhoben wird, bleibt abzuwarten. Jedenfalls würden bis zum Abschluss eines gerichtlichen Verfahrens aber mehrere Jahre vergehen, sodass zumindest für einige Zeit der Datentransfer in die USA wieder rechtssicher möglich.

Die bisherigen Lösungen, um einen Datentransfer in die USA zu rechtfertigen, sollten auf das neue EU-US Data Privacy Framework als belastbare Grundlage angepasst werden. Gerne beraten wir Sie hierbei.

Stand: 12. Juli 2023