Ihre
Suche

    11.07.2023

    Freie Bahn für Datenübertragungen in die USA?


    Das EuGH-Urteil vom 16. Juli 2020 und seine Auswirkungen

     

    Der Europäische Gerichtshof (EuGH) hatte im sogenannten "Schrems II"-Urteil im Juli 2020 entschieden, dass der sog. EU-US-Datenschutzschild („Privacy Shield“), der bis dahin in der Praxis als wichtigster Mechanismus für Datenübermittlungen in die USA diente, unwirksam ist (wir berichteten im Datenschutz-Ticker Juli 2020). Seitdem herrschte große Unsicherheit, ob und unter welchen Voraussetzungen Datenübertragungen in die USA noch rechtlich möglich waren. Das Urteil hatte somit weitreichende Auswirkungen auf den transatlantischen Datenaustausch. Dies galt vor allem, aber nicht nur, für die Nutzung beliebter Onliner-Dienste wie Google und Facebook. Der EuGH hatte argumentiert, dass die Datenschutzstandards in den USA insbesondere aufgrund ausufernder Befugnisse der US-Geheimdienste nicht ausreichend seien und dass europäischen Bürgerinnen und Bürgern kein ausreichender Schutz vor staatlicher Überwachung und Datenmissbrauch zukomme. Auch das Fehlen effektiven Rechtsschutzes für EU-Bürgerinnen und -Bürger in den USA im Hinblick auf ihre Datenschutzrechte hatte der EuGH beanstandet.

     

    Die alternative Absicherung der Datenübertragungen etwa durch den Abschluss von sog. Standardvertragsklauseln („SCC“) oder gar durch die Einholung von Einwilligungen für die Datenübertragung in Drittländer, insbesondere die USA, blieben höchst umstritten und bargen stets ein gewisses Risiko, einer gerichtlichen Überprüfung nicht Stand halten zu können oder ein erhebliches Bußgeld durch eine Datenschutzbehörde nach sich zu ziehen.

     

    Der EU-US Data Privacy Framework als Lösung

     

    Nachdem die EU-Kommission und die US-Regierung bereits im März 2022 verlautbaren ließen, sich grundsätzlich auf einen Rechtsrahmen für den transatlantischen Datentransfer geeinigt zu haben, hat die EU-Kommission nun den lange ersehnten Angemessenheitsbeschluss für den EU-US-Data Privacy Framework („Data Privacy Framework“) erlassen. Damit reagiert sie auf die Beanstandungen des EuGH im „Schrems II“-Urteil und bescheinigt den USA erneut, diesmal aber unter bestimmten Voraussetzungen, ein angemessenes Datenschutzniveau im Sinne der DSGVO.

     

    Ähnlich wie schon der frühere „Privacy Shield“ basiert der Data Privacy Framework auf einem System der Zertifizierung. US-Organisationen und Unternehmen können sich zur Einhaltung der sog. EU-US Data Privacy Framework Principles verpflichten, welche sich an den Grundsätzen der DSGVO orientieren, sowie an weiteren Grundsätzen, die vom US-Handelsministerium (Department of Commerce) herausgegeben werden. Das US-Handelsministerium wird auch ähnlich wie beim früheren „Privacy Shield“ eine Liste im Internet veröffentlichen, in der die unter dem Data Privacy Framework zertifizierten Organisationen und Unternehmen aufgeführt werden.

     

    Um sich gemäß dem Data Privacy Framework zu zertifizieren (oder sich jährlich zu rezertifizieren), müssen Organisationen und Unternehmen sich öffentlich zur Einhaltung der o.g. Grundsätze bekennen, ihre Datenschutzrichtlinien verfügbar machen und diese vollständig umsetzen. Im Rahmen ihres Zertifizierungsantrags müssen sie dem US-Handelsministerium diverse weitere Informationen vorlegen. Diese umfassen ihre Organisation, eine Beschreibung der Zwecke, für die personenbezogene Daten verarbeitet werden, die von der Zertifizierung erfassten personenbezogenen Daten sowie die gewählte Überprüfungsmethode, den relevanten unabhängigen Beschwerdemechanismus und schließlich die zuständige Durchsetzungsbehörde.

     

    Organisationen und Unternehmen können erst ab dem Zeitpunkt, an dem sie in die Data Privacy Framework-Liste des US-Handelsministeriums aufgenommen worden sind, personenbezogene Daten auf der Grundlage des Data Privacy Framework erhalten und verarbeiten. Um Rechtssicherheit zu gewährleisten und um zu vermeiden, dass Organisation oder Unternehmen fälschlicherweise behaupten, zertifiziert zu sein, dürfen sie, wenn sie sich erstmals zertifizieren lassen, erst dann öffentlich auf ihre Einhaltung der Grundsätze bzw. ihre Zertifizierung hinweisen, wenn das US-Handelsministerium festgestellt hat, dass der entsprechende Zertifizierungsantrag vollständig ist und die Organisation bzw. das Unternehmen zur Liste hinzugefügt wurde. Um sich weiterhin auf den Data Privacy Framework als Transfermechanismus berufen zu können, muss eine jährliche Rezertifizierung durchgeführt werden.

     

    Was müssen Unternehmen in der EU beachten?

     

    Die bloße Existenz des Angemessenheitsbeschluss bzw. des Data Privacy Framework bedeutet leider noch nicht, dass in der EU bzw. im EWR ansässige Unternehmen nun unmittelbar ihre Datenübertragungen auf diesen stützen können. Denn zunächst muss die Zertifizierung des jeweiligen US-Unternehmens, an welches die Daten übermittelt werden sollen, erfolgt sein und dieses in der Data Privacy Framework-Liste veröffentlicht werden. Dies dürfte noch ein wenig Zeit in Anspruch nehmen, da die US-Unternehmen zunächst die oben beschriebenen Grundsätze umsetzen und Vorgaben einhalten müssen.

     

    Wenn es so weit ist, müssen ggf. die Datenschutzerklärungen der Daten übermittelnden Unternehmen angepasst werden, da diese sich bezüglich der Datenübertragung in die USA bislang auf andere Mechanismen als den Angemessenheitsbeschluss berufen dürften. Die Datenschutzerklärung muss bei Datenübertragungen in Drittländer jedoch stets das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission erwähnen (Art. 13 Abs. 1 lit. f) DSGVO).

     

    Fazit und Ausblick

     

    Der Angemessenheitsbeschluss der EU-Kommission beendet zunächst eine lange Periode der Rechtsunsicherheit für die Übertragung von personenbezogenen Daten in die USA. Sofern die oben beschriebenen Voraussetzungen erfüllt sind, dürfte der Beschluss in der Praxis zu erheblichen Vereinfachungen bei der rechtlichen Bewertung und Durchführung von rechtmäßigen US-Datentransfers führen. Der Data Privacy Framework hat aber auch unmittelbar harsche Kritik erfahren, weil er angeblich zu wenig von dem bereits vor dem EuGH gescheiterten Privacy Shield abweiche und daher keinen echten Schutz für die personenbezogenen Daten von EU-Bürgerinnern und -Bürgern in den USA biete. Es bleibt also abzuwarten, wie lange dieses Abkommen diesmal Bestand hat. Vorerst heißt es jedoch für viele in der EU bzw. dem EWR ansässige Unternehmen, die regelmäßig Daten in die USA übertragen wollen oder müssen: Aufatmen!

     

    Fabian Eckstein

     

    Einwilligungsverwaltungsverordnung – Cooki…
    Laut einer aktuellen Studie des Bitkom sind 76 % der Internetnutzer von Cookie-B…
    Weiterlesen
    ADVANT Beiten berät die Gesellschafter der…
    Freiburg, 5. August 2024 – Die internationale Wirtschaftskanzlei ADVANT Beiten h…
    Weiterlesen
    KI im Social-Media-Marketing: Chancen und …
    Unsere Experten Dr. Holger Weimann und Dr. Birgit Münchbach beschreiben die wach…
    Weiterlesen
    Schocktherapie Folge 9: „Als Datenschützer…
    „Als Datenschützer ist man nie wirklich willkommen“ – Datenschutz im Krankenhaus…
    Weiterlesen
    Verschärfte Anforderungen für die Werbung …
    Mit Urteil vom 27. Juni 2024 hat der Bundesgerichtshof entschieden, dass die Wer…
    Weiterlesen
    Durchsetzung des Digital Services Act in D…
    Der Digital Services Act (DSA) zielt darauf ab, ein sicheres und transparentes O…
    Weiterlesen
    Handspiel: Was die Fußball-Europameisterschaft mit dem EU-Datenrecht zu tun hat
    Während das Land noch diskutiert, ob die Entscheidung von Schiedsrichter Taylor richtig war, Deutschland den Hand-Elfmeter zu verweigern, machen wir uns dazu ganz unaufgeregt ein paar Gedanken aus Sicht de…
    Weiterlesen
    Fruchtgummis sind nicht klimaneutral!
    Der BGH verschärft die Anforderungen für die Werbung mit dem Begriff "klimaneutral". Mit Urteil vom 27. Juni 2024 hat der Bundesgerichtshof entschieden, dass die Werbung mit einem mehrdeutigen umweltbezog…
    Weiterlesen
    ADVANT Beiten berät Aesculap bei Veräußerung der TETEC AG an kanadische Octane-Gruppe
    Düsseldorf, 26. Juni 2024 – Die internationale Wirtschaftskanzlei ADVANT Beiten hat die Aesculap AG, ein Tochterunternehmen des B. Braun Konzerns mit Sitz in Melsungen, bei der Veräußerung ihrer Beteiligun…
    Weiterlesen