IT-Recht und Datenschutz12.07.2023 Newsletter
Aller guten Dinge sind drei: Das neue EU-US Data Privacy Framework
Am 10. Juli 2023 hat die EU-Kommission beschlossen, dass das EU-US Data Privacy Framework („DPF“) ein angemessenes Schutzniveau für Übermittlungen personenbezogener Daten aus der EU und dem EWR in die USA gewährleistest.
Damit treten Erleichterungen für Unternehmen bei Datenübermittlungen in die USA ein, etwa bei Inanspruchnahme der Dienste von US Cloud-Anbietern, da aufwändige Risikoeinschätzungen und Zusatzmaßnahmen entfallen.
Hintergrund
Der EuGH erklärte mit der Schrems II-Entscheidung vom 16. Juli 2020 Übermittlungen personenbezogener Daten in die USA auf Grundlage des EU-US Privacy Shields für unzulässig (wie zuvor das Safe Harbor Abkommen, vgl. hierzu die Schrems I-Entscheidung des EuGH vom 6. Oktober 2015).
Datentransfers in Drittländer außerhalb der EU wurden dadurch deutlich erschwert (hier finden Sie unseren Newsletter dazu vom 16. Juli 2020). Während das EU-US Privacy Shield für nichtig erklärt wurde, hatten u. a. die EU-Standardvertragsklauseln weiter Bestand, Datenübermittlungen mussten aber nach den Leitlinien des Europäischen Datenschutzausschusses (EDSA) vorher auf rechtliche und praktische Risiken im Empfängerland überprüft werden (Transfer Impact Assessment) und durch entsprechende zusätzliche Schutzmaßnahmen ergänzt werden (hier finden sie unseren Newsletter dazu vom 12. Juli 2021).
Am 10. Juli 2023 ist nun mit dem EU-US Data Privacy Framework „DPF“ der Nachfolger durch den Angemessenheitsbeschluss der EU-Kommission in Kraft getreten und mit erläuternden Anmerkungen und FAQ veröffentlicht worden. Zuvor hatte US-Präsident Biden am 7. Oktober 2022 die „US Executive Order on ‘Enhancing Safeguards for United States Signals Intelligence Activities“ erlassen und damit den zugrunde liegenden US-Rechtsrahmen entscheidend verbessert: Bei Datenzugriffen zum Zwecke der Strafverfolgung und der nationalen Sicherheit ist der Zugang zu Daten auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt. Zudem werden EU-Bürger im Zusammenhang mit der Erhebung und Verwendung ihrer personenbezogenen Daten durch US-Nachrichtendienste auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren zurückgreifen können.
Inhalte und Wirkung des EU-US Privacy Frameworks
Das DPF ist wie seine Vorgängerregelungen als Selbstzertifizierungsverfahren ausgestaltet. US-Unternehmen, die dieses Zertifizierungsverfahren durchlaufen haben, sind befugt, personenbezogene Daten aus der EU und dem EWR in die USA zu importieren, ohne EU‑Standardvertragsklauseln oder andere Datenübertragungsmechanismen bemühen zu müssen.
Verfahren bei Erst-Zertifizierung
Die Zertifizierung von US-Unternehmen unter dem DPF erfolgt bei dem US Department of Commerce. Dieses veröffentlicht eine Liste, anhand derer Daten-Exporteure prüfen können, ob der betreffende US-Importeur zertifiziert ist.
Aus Alt mach Neu: Zertifizierungen unter dem Privacy Shield
US-Unternehmen, die bereits eine Zertifizierung unter dem Privacy Shield erwirkt hatten, können diese übertragen. Dazu müssen sie aber binnen drei Monaten ihre Datenschutzhinweise aktualisieren und auf die „EU-US Data Privacy Framework Principles“ verweisen oder andernfalls ein Widerrufsverfahren durchlaufen. Für Daten-Exporteure bedeutet dies, dass sie derzeit besonders auf den aktuellen Stand einer Zertifizierung achten müssen.
Wirkung des DPF
Weil die EU-Kommission unter diesen Voraussetzungen die USA als sicheres Empfängerland einschätzt, sind auch die vom EuGH geforderten Folgenabschätzungen (Transfer Impact Assessments) und zusätzliche Schutzmaßnahmen nicht länger notwendig. Europäische Unternehmen trifft stattdessen die Pflicht, die vollständige Zertifizierung des amerikanischen Daten-Importeurs vor einem Datentransfer zu prüfen.
Auswirkungen auf die Nutzung der EU-Standardvertragsklauseln bzw. BCRs
Der Angemessenheitsbeschluss der EU-Kommission vereinfacht nach deren Ansicht die Datenübermittlung in die USA nicht nur auf Basis des DPF erheblich: „Die von den Vereinigten Staaten eingeführten Garantien werden zudem den transatlantischen Datenverkehr generell erleichtern, da sie auch für die Übermittlung von Daten unter Verwendung anderer Instrumente wie Standardvertragsklauseln und verbindliche unternehmensinterne Vorschriften gelten.“
Mit anderen Worten sind ab sofort Datenübermittlungen in die USA auf Basis der EU-Standardvertragsklauseln oder BCRs ebenfalls ohne Folgenabschätzung (Transfer Impact Assessment) und zusätzliche Schutzmaßnahmen möglich, siehe auch Nr. 7 der FAQ der EU-Kommission.
Empfehlungen für die Praxis
Datenübermittlungen an US-Unternehmen mit Zertifizierung unter dem DPF sind jetzt ohne weitere inhaltliche Anforderungen möglich, soweit und solange eine entsprechende Zertifizierung besteht.
Datenübermittlungen an US-Unternehmen auf Basis der EU‑Standardvertragsklauseln oder BCRs benötigen diese Zusatzmaßnahmen ebenfalls nicht mehr.
Datenübermittlungen in andere unsichere Drittländer unterliegen weiterhin den Anforderungen des EuGH, insbesondere muss eine Folgenabschätzung (Transfer Impact Assessment) durchgeführt werden. Darüber hinaus müssen ggf. zusätzliche Schutzmaßnahmen umgesetzt werden.
Schon jetzt ist zu erwarten, dass auch das DPF in Frage gestellt und vom EuGH überprüft werden wird. Wir empfehlen Unternehmen, die weitere Entwicklung im Blick zu behalten.
Marco Degginger
Junior PartnerRechtsanwalt
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 365
M +49 162 1313 994
Christian Saßenbach
LL.M. (Norwich), CIPP/E
AssociateRechtsanwalt
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 115
M +49 151 1765 2240
Dr. Hanna Schmidt
Junior PartnerinRechtsanwältin
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 613
M +49 172 1475 126