11. Juli 2023 – Die EU Kommission hat am 10. Juli 2023 einen sogenannten “Angemessenheitsbeschluss” nach Art. 45 DSGVO für die Übermittlung von personenbezogenen Daten in die USA erlassen. Lesen Sie hier, was es damit auf sich hat und was Unternehmen jetzt beachten müssen.
Hintergrund:
Wie Ihnen vielleicht schon bekannt ist, sorgen Übertragungen personenbezogener Daten aus der EU in sogenannte Drittländer, also Länder außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraume,s immer wieder für rechtliche Schwierigkeiten. Dies betrifft insbesondere Übertragungen in die USA. Grundsätzlich kann eine Übertragung personenbezogener Daten in Drittländer nur unter gewissen Voraussetzungen erfolgen. Dazu gehört etwa ein sogenannter Angemessenheitsbeschluss der Europäischen Kommission auf Basis des Art. 45 DSGVO, welcher bescheinigt, dass im Zielland ein dem der EU vergleichbares Datenschutzniveau herrscht. Solche Angemessenheitbeschlüsse existieren beispielsweise für das Vereinigte Königreich, Kanada und Japan. Da ein solcher Angemessenheitsbeschluss für die USA bisher nicht vorlag, wurden personenbezogene Daten zuletzt insbesondere auf Basis der sogenannten Standardvertragsklauseln in Kombination mit weiteren Maßnahmen wie dem Transfer Impact Assessment übermittelt.
Neuer Angemessenheitsbeschluss der Europäischen Kommission für die USA:
Um das Datenschutzniveau der USA auf ein dem der EU vergleichbares und damit „angemessenes“ Level zu heben, verabschiedete US-Präsident Biden bereits am 07.10.2022 die Executive Order 14086, mit welcher der Zugriff der US-Behörden auf die Daten von EU-Bürgern beschränkt werden soll. Eingeführt wird durch die Executive Order eine vorgeschriebene Verhältnismäßigkeitsprüfung der US-Behörden für den Datenzugriff unabhängig von der Staatsangehörigkeit der betroffenen Person, sowie ein zweistufiger Rechtsbehelf und ein extra geschaffener „Data Protection Review Court“. Sollten Sie Fragen hierzu haben, melden Sie sich gerne.
Die EU-Kommission sah diese Executive Order als angemessene Änderung an und legte in der Folge bereits zu Beginn von 2023 den Entwurf eines Angemessenheitsbeschlusses, des European Union-U.S. Data Privacy Framework vor. Dieser wurde sodann kontrovers diskutiert und in den Gremien beraten. Mit Pressemitteilung vom 10.07.2023 hat die Europäische Kommission den Angemessenheitsbeschluss nun offiziell verkündet. Somit existiert für Datenübermittlungen in die USA ab sofort ein Angemessenheitsbeschluss.
Durch den Angemessenheitsbeschluss können -Stand jetzt- Übertragungen personenbezogener Daten ohne Standardvertragsklauseln oder andere Maßnahmen erfolgen. Dies erleichtert die Situation für viele Unternehmen erheblich, da auch aufwändige Maßnahmen wie das Transfer Impact Assessment nicht mehr erforderlich sind. Erforderlich ist dazu jedoch, dass sich das jeweilige US-Unternehmen dem Datenschutzrahmen ausdrücklich anschließt, indem es sich im Rahmen einer Zertifizierung zur Einhaltung detaillierter Datenschutzpflichten verpflichtet, etwa die Pflicht, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.Es ist daher zukünftig darauf zu achten, dass die US-Unternehmen, an welche Sie Daten übertragen, sich diesem Framework anschließen und das dafür vorgesehene Register eintragen lassen. Aller Voraussicht nach wird es eine öffentliche Liste mit den beigetretenen Unternehmen geben. Sollte es hierüber Zweifel geben, sprechen Sie uns gerne für eine Überprüfung an. Aufgrund der hohen wirtschaftlichen Bedeutung des transatlantischen Datentransfers darf erwartet werden, dass die marktführenden US-Anbieter zeitnah die Zertifizierung vornehmen. Nach dieser Zertifizierung ist ein Datentransfer – und damit die Einbindung des jeweiligen US-Anbieters bei Datenverarbeitungen grundsätzlich DSGVO-konform möglich (Art. 45 DSGVO).
Sollten Sie mit Dienstleistern wie SAP, Microsoft, Salesforce etc. Standardvertragsklauseln abgeschlossen haben, bleiben diese weiterhin gültig. Sie müssen in diesem Fall nicht abwarten, ob sich ein Unternehmen für das neue EU-US Data Privacy Framework unter dem Angemessenheitsbeschluss registriert.
Prognose:
Von verschiedenen Seiten wird bereits Kritik am Beschluss geäußert. Datenschutzaktivist Max Schrems, der auch schon die letzten beiden Beschlüsse der Europäischen Kommission zu Datenübertragungen in die USA vor dem Europäischen Gerichtshof zu Fall brachte, hat bereits die Anfechtung des Angemessenheitsbeschlusses angekündigt, da er die Executive Order zum Schutz der Daten von EU-Bürgern für nicht ausreichend hält. Die von US-Präsident Biden erlassene Executive Order ist im Übrigen kein förmliches Gesetz und könnte vom jeweiligen US-Präsidenten jederzeit wieder abgeschafft werden. Diese Tatsache könnte bereits im Hinblick auf die Präsidentschaftswahlen in den USA im November 2024 relevant werden. In diesem Fall entfiele die Grundlage für den Angemessenheitsbeschluss wieder und es wäre mit einer Aufhebung durch die Europäische Kommission zu rechnen. Ob der Angemessenheitsbeschluss als sichere Grundlage demnach lange Bestand haben wird, ist unklar.
Etwaige interne Prozesse zu Standardvertragsklauseln, Transfer Impact Assessment und weiteren Maßnahmen sollten daher mit dem Angemessenheitsbeschluss nicht automatisch abgeschafft werden, sondern eher sicherheitshalber weiter genutzt werden, da hierdurch Ihre Vertragspartner mit US-Bezug strengeren Pflichten im Hinblick auf den Umgang mit Ihren Daten unterliegen.
Sollten Sie Rückfragen haben, kommen Sie bitte auf uns zu. Gerne vereinbaren wir hierzu ein Video-Meeting, um Ihre individuellen Anliegen und Fragen zu besprechen.
