Datenübermittlung in die USA: EU erlässt neuen Angemessenheitsbeschluss

Die EU-Kommission hat am 10. Juli 2023 einen neuen Durchführungsbeschluss über die Angemessenheit des Schutzniveaus für personenbezogene Daten nach dem Datenschutzrahmen EU-USA erlassen. Auf dieser Grundlage können Verantwortliche und Auftragsverarbeiter wieder personenbezogene Daten an zertifizierte Unternehmen und Organisationen in den USA übermitteln, ohne geeignete Garantien und zusätzliche Maßnahmen ergreifen oder sich auf spezielle Ausnahmetatbestände stützen zu müssen.

Der Angemessenheitsbeschluss beruht auf dem neuen zwischen der EU und den USA vereinbarten Datenschutzrahmen (EU-US Data Privacy Framework). Hiermit wird eine rund dreijährige Übergangsperiode mit besonderen Anforderungen an Datenübermittlungen in die USA beendet, die entstanden war, nachdem der Europäische Gerichtshof (EuGH) mit dem Schrems II-Urteil vom 16.07.2020 den auf das Vorgängerabkommen „EU-US Privacy Shield“ gestützten Durchführungsbeschluss für unwirksam erklärt hatte. Durch den neuen Datenschutzrahmen EU-USA soll insbesondere der Zugang der US-Nachrichtendienste zu Daten auf das notwendige und verhältnismäßige Maß beschränkt werden. Außerdem wurde ein zweistufiges Beschwerdeverfahren gegen US-Überwachungsmaßnahmen eingeführt, was eine Überprüfung durch ein neu eingerichtetes Gericht zur Datenschutzüberprüfung (Data Protection Review Court) beinhalten kann.

Der vom EU-US Privacy Shield bekannte Zertifizierungsmechanismus wird beibehalten. Das US-Handelsministerium hat eine Liste von US-Unternehmen veröffentlicht, die sich gegenüber dem Ministerium selbst zertifiziert und sich zur Einhaltung der Grundsätze des Datenschutzrahmens EU-USA verpflichtet haben. Unternehmen, die sich dafür entscheiden, die Vorteile des Datenschutzrahmens EU-USA auf Beschäftigtendaten auszudehnen, die aus der EU zur Verwendung im Rahmen eines Beschäftigungsverhältnisses übermittelt werden, müssen dies bei ihrer Selbstzertifizierung angeben und zusätzliche Anforderungen erfüllen.

Datenübermittlungen an US-Unternehmen, die nicht in der Liste zum Datenschutzrahmen EU-USA verzeichnet sind, können nicht auf den Angemessenheitsbeschluss gestützt werden. Solche Übermittlungen erfordern weiterhin geeignete Garantien nach Art. 46 DS-GVO (z. B. Standardvertragsklauseln), den Rückgriff auf verbindliche interne Datenschutzvorschriften nach Art. 47 DS-GVO (Binding Corporate Rules) oder das Vorliegen eines Ausnahmetatbestands nach Art. 49 DS-GVO im Einzelfall. Allerdings sollen nach Mitteilung der EU-Kommission alle von der US-Regierung im Bereich der nationalen Sicherheit eingeführten Garantien (einschließlich des Rechtsbehelfsverfahrens) unabhängig von den verwendeten Übermittlungsmechanismen für alle Datenübermittlungen im Rahmen der DS-GVO an Unternehmen in den USA gelten. Die EU-Kommission geht daher davon aus, dass diese Garantien auch beispielsweise die Nutzung von Standardvertragsklauseln erleichtern werden.

Die EU-Kommission wird die Funktionsweise des Datenschutzrahmens EU-USA fortlaufend überprüfen. Die erste Überprüfung wird in einem Jahr erfolgen. Darüber hinaus ist zu erwarten, dass von Datenübermittlungen in die USA Betroffene erneut gerichtlichen Rechtsschutz suchen werden und auch der neue Datenschutzrahmen EU-USA perspektivisch vom EuGH überprüft werden wird. Insofern kann aus aufsichtsbehördlicher Sicht noch keine abschließende langfristige „Entwarnung“ für Datenübermittlungen in die USA gegeben werden. Nicht zuletzt vor diesem Hintergrund empfiehlt es sich, bereits eingeleitete oder umgesetzte Strategien zur „Digitalen Souveränität“ weiterzuverfolgen. Sofern die Verarbeitung personenbezogener Daten ausschließlich im Europäischen Wirtschaftsraum erfolgt, haben Verantwortliche und Auftragsverarbeiter hierüber eine effektive Kontrolle und können die Einhaltung des Datenschutzniveaus langfristig und dauerhaft sicherstellen.

Links:

US-Angemessenheitsbeschluss (bislang nur auf Englisch verfügbar)

FAQ-Papier der EU-Kommission zum Datenschutzrahmen EU-USA

Data Privacy Framework Program (nur auf Englisch verfügbar)

Anwendungshinweise zum Angemessenheitsbeschluss der Europäischen Kommission zum Datenschutzrahmen EU‐USA (EU‐US Data Privacy Framework) vom 10. Juli 2023