Die EU-Kommission hat am 10. Juli 2023 ihren neuen Angemessenheitsbeschluss für Datentransfers in die USA erlassen. Die Pressemeldung der EU-Kommission finden Sie hier.
Der Angemessenheitsbeschluss schafft endlich wieder einen (vorerst) rechtssicheren Rahmen, um personenbezogenen Daten an Unternehmen mit Sitz in den USA zu übermitteln. Lesen hier, was sie nun beachten sollten.
Was ist der Angemessenheitsbeschluss und warum war er notwendig?
ach der DSGVO dürfen personenbezogene Daten nur dann in Staaten außerhalb des Europäischen Wirtschaftsraumes (EWR) übermittelt werden, wenn in einem solchen Drittland ein mit der EU vergleichbares Datenschutzniveau gewährleistet ist. Die EU-Kommission hat die Möglichkeit, eine solches, angemessenes Schutzniveau rechtsverbindlich festzustellen.
Dies hatte die Kommission 2016 für die USA auf Grundlage des Privacy Shield-Abkommens getan. In seinem „Schrems II“-Urteil aus dem Juli 2020 erklärte der Europäische Gerichtshof (EuGH) jedoch diesen Beschluss der Kommission aufgrund der umfangreichen Überwachungsbefugnisse der staatlichen Behörden, insbesondere auch der US-Geheimdienste, für nichtig. Das Urteil des EuGH hatte eine erhebliche Rechtsunsicherheit zur Folge. Selbst wenn ein Unternehmen – wie es seitdem best practice war – mit seinen US-Providern die im Juni 2021 aktualisierten EU-Standard-vertragsklauseln und zusätzliche vertragliche oder technische Maßnahmen zum Schutz der verarbeiteten Daten vereinbarte, konnte es sich nicht sicher sein, ob dies auch aus Sicht der Datenschutzbehörden und der Gerichte ausreichen würde.
Diese „Hängepartie“ ist nun (vorerst) beendet. Nachdem die EU-Kommission und die US-Regierung bereits im März 2022 mit dem EU-U.S. Data Privacy Framework (DPF) ein neues Abkommen geschlossen hatten, das zugunsten betroffener EU-Bürger zusätzliche rechtsstaatliche Garantien vorsieht, hat die Kommission am 10. Juli 2023 ihren neuen Angemessenheitsbeschluss verabschiedet.
Sind damit die Risiken von Datentransfers in die USA vom Tisch?
Ganz klar: Jein.
Der Angemessenheitsbeschluss schafft vorerst Rechtssicherheit, weil er für alle Organe der Mitgliedstaaten, insbesondere auch für die nationalen Datenschutzbehörden und Gerichte, rechtsverbindlich ist.
Es steht aber zu erwarten, dass sich der EuGH früher oder später erneut mit der Frage der Datentransfers in die USA beschäftigen wird. Sowohl die Europäischen Datenschutzbehörden als auch das Europäische Parlament haben erhebliche Zweifel an der Wirksamkeit der mit der U.S.-Regierung vereinbarten rechtstaatlichen Garantien geäußert, so dass der Ausgang eines künftigen Verfahrens vor dem EuGH offen ist.
Was ist Unternehmen zukünftig zu raten?
Wenn Sie künftig US-Provider zur Verarbeitung personenbezogener Daten einsetzen wollen, so sollten Sie zunächst prüfen (z.B. hier), ob das jeweilige Unternehmen auch tatsächlich unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert ist.
Wenn dies der Fall ist, so müssen Sie mit dem Anbieter zwar weiterhin einen Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA), aber nicht notwendig die EU-Standardvertragklauseln vereinbaren.
Wenn der Provider es aber anbietet, zusätzlich die Standardvertragklauseln zu vereinbaren, so sollten Sie von dieser Möglichkeit Gebrauch machen – und zwar aus den folgenden Gründen:
- Im Verhältnis zu U.S.-Unternehmen haben die Standardvertragsklauseln den Vorteil, die rechtlichen Anforderungen an einen Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO zu erfüllen. Die DPA U.S.-amerikanischer Anbieter gewährleisten dies nicht immer.
- Die Standardvertragsklauseln können auch deshalb notwendig sein, weil der US-Provider Ihre Daten an Konzernunternehmen oder Subprozessoren in anderen Drittstaaten als den USA weitergibt.
- Die Standardvertragsklauseln können als Fallback für den Fall dienen, dass der EuGH künftig auch den Angemessenheitsbeschluss vom 10. Juli 2023 „einkassieren“ sollte. Dann müssen Sie ihre Verträge mit dem US-Provider nicht kurzfristig ergänzen und sie beugen zugleich Haftungsrisiken vor. Aufgrund der bereits bekannten Kritikpunkte am DPF ist nicht auszuschließen, dass sich die Datenschutzbehörden oder Gerichte künftig auf den Standpunkt stellen könnten, dass Ihr Unternehmen auf den Bestand des Angemessenheitsbeschlusses nicht habe vertrauen dürfen.
Für bereits bestehende Verträge mit U.S. Providern sollten Sie
- künftige Änderungen der Vertragsbedingungen, insbesondere den DPAs im Blick behalten
- und ggfls. Ihre Datenschutzerklärungen, Verfahrensverzeichnisse und Cookie-Banner anpassen.
Viele der von Ihnen mit dem US-Provider vor dem Hintergrund von „Schrems II“ vereinbarten Schutzmaßnahmen werden aber auch künftig sinnvoll sein. So schützt etwa eine bring-your-own-key-encryption nicht nur personenbezogenen Daten vor dem Zugriff von US-Behörden, sondern auch Ihre Geschäfts- und Betriebsgeheimnisse.