Neuer Angemessenheitsbeschluss für die Nutzung von US-Diensten – Was bedeutet der EU-US Data Privacy Framework für Unternehmen in Deutschland?
Der Angemessenheitsbeschluss
Stellt die Europäische Kommission fest, dass personenbezogene Daten in einem Drittland einem gleichwertigen Schutz unterliegen, kann sie nach Art. 45 Abs. 3 DSGVO einen sogenannten Angemessenheitsbeschluss fassen.
In ein Drittland, für das es einen Angemessenheitsbeschluss gibt, ist eine Übermittlung von personenbezogenen Daten dann ohne weitere Schutzmaßnahmen möglich.
Ein solcher Angemessenheitsbeschluss bestand für die USA bereits in Form des „Privacy Shields“, wurde aber mit dem Schrems II Urteil des EuGH vom 16. Juli 2020 für ungültig erklärt. Der EuGH begründete die Ungültigkeit u.a. mit unverhältnismäßigen Zugriffen durch amerikanische Sicherheitsbehörden und eine – daraus resultierende – Verletzungen der Art. 7 und Art. 8 der EU-Grundrechtecharta (GRCh). Das europäische Gericht rügte außerdem einen Verstoß gegen Art. 52 I 2 EU-GRCh, da der Zugriff auf personenbezogene Daten von Nicht-US-Bürger nicht beschränkt sei. EU-Bürgern stünden zudem keine durchsetzbaren Rechte gegen solche Zugriffe zu Verfügung.
Die Ungültigkeit des „Privacy Shields“ führte dazu, dass eine Übermittlung in die USA nur auf Grundlage geeigneter Garantien nach Art. 46 DSGVO – zu denen insbesondere die sogenannten Standardvertragsklauseln gehörten – oder unter den besonderen Voraussetzungen des Art. 49 DSGVO legitimiert werden konnte. Ob diese Voraussetzungen tatsächlich vorliegen, fiel dabei in den Risikobereich des Verantwortlichen, sodass für diesen eine erhebliche Rechtsunsicherheit bestand.
Der neue Versuch – Alle guten Dinge sind drei?
Im März 2022 veröffentlichte die EU-Kommission schließlich eine Einigung mit der US-Regierung, die in einem Factsheet die Grundprinzipien des neuen Datenschutzabkommens zusammenfasste:
- Freier und sicherer Fluss von Daten zwischen der EU und teilnehmenden US-Unternehmen
- Der Zugang von US-Nachrichtendiensten zu EU-Daten wird auf ein notwendiges und verhältnismäßiges Maß beschränkt.
- Die Schaffung eines Gerichtes zur Datenschutzüberprüfung, zu dem Einzelpersonen in der EU Zugang haben (Data Protection Review Court, DPRC).
- Mehrere Rechtsbehelfe für EU-Bürger, falls es zur nicht ordnungsgemäßen Behandlung von Daten durch US-Unternehmen kommt (u.a. kostenlose, unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle)
- Generelle Beschränkung des Zugangs durch US-Behörden:
- Zugang „zum Schutz der nationalen Sicherheit“ ist auf das notwendige und verhältnismäßige Maß beschränkt
Die Umsetzung geeigneter Garantien mittels „Executive Order“
Die Umsetzung dieser Garantien erfolgte in den USA mittels einer „Executive Order“ (Durchführungsverordnung) des amerikanischen Präsidenten Joe Biden. Der US-Präsident erließ ein entsprechendes Dekret, durch das unter anderem die US-Geheimdienste angewiesen werden, Datenzugriffe auf das verhältnismäßige Maß zu beschränken.
Eine erste Überprüfung des Angemessenheitsbeschlusses soll binnen eines Jahres nach Inkrafttreten erfolgen, wobei ermittelt wird, ob die Maßnahmen im US-Rechtsrahmen vollständig umgesetzt wurden und ob eine wirksame Funktionsweise in der Praxis gewährleistet ist. Eine derartige Überprüfung erfolgt durch die EU-Kommission, Vertreter der europäischen Datenschutzbehörden und den zuständigen US-Behörden.
Erfolgsaussichten des Angemessenheitsbeschlusses
Bereits die Ankündigung des neuen Angemessenheitsbeschlusses im März 2022 stieß auf Kritik. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg nahm im Oktober 2022 zum Vorhaben der EU-Kommission kritisch Stellung. Die Datenschutzbehörde erhob Zweifel, ob eine „Executive Order“ ein wirksames Instrument zur Umsetzung der Anforderungen der DSGVO sein könne. Begründet hat die Aufsichtsbehörde dies damit, dass es sich bei einer Durchführungsverordnung nur um eine interne Anweisung an die Regierung und nachgeordnete Behörden handele und damit nicht um ein parlamentarisch beschlossenes, bestandskräftiges Gesetz. Eine Einhaltung der „Executive Order“ ist folglich insbesondere für den EU-Bürger nicht einklagbar.
Ferner sieht die LDI Baden-Württemberg eine Unklarheit darin, wann Zugriff für die nationalen Sicherheitsbehörden der USA möglich bleibt, da Europa und die Vereinigten Staaten eine andere Auslegung des Rechtsbegriffs der „Verhältnismäßigkeit“ vertreten.
Anders sieht das hingegen die Datenschutzbehörde in Hamburg. In einer Stellungnahme zu dem geplanten Angemessenheitsbeschluss, begrüßt die Datenschutzbeauftragte der Hansestadt die Entwicklung und führt an, die „Executive Order“ sei ein bewährtes Rechtsinstrument, welches auch in anderen Bereichen wirksam zum Einsatz kommt (z.B. in der Terrorismus-Bekämpfung). Überdies stört sich die Hamburger Behörde nicht an den Unterschieden in Bezug auf den Verhältnismäßigkeit-Begriff, sondern argumentiert, dass die DSGVO ein gleiches Schutzniveau, nicht aber ein übereinstimmendes Rechtssystem voraussetzt.
Und nun? Handlungsempfehlung für Unternehmen in der EU
Obwohl der Angemessenheitsbeschluss seit seiner Annahme am 10. Juli 2023 in Kraft und damit anwendbar ist, stellt sich die Frage, ob es für Unternehmen in der EU sinnvoll ist, ihre Datenübermittlungen in die USA jetzt ausschließlich auf diesen zu stützen.
Es gilt diesbezüglich festzuhalten, dass der Beschluss auch Auswirkung auf die Möglichkeit der Nutzung anderer Instrumente für die Datenübermittlung hat. So gelten beispielsweise alle von der US-Regierung eingeführten Garantien - unabhängig von den verwendeten Übermittlungsmechanismen - für alle Datenübermittlungen im Rahmen der DSGVO. Das bedeutet, dass, insbesondere die neuen Regelungen für US-Geheimdienste, auch für Datentransfers an US-Unternehmen gelten, die sich dem neuen Datenschutzrahmen (noch) nicht angeschlossen haben. So erleichtern die neuen Garantien auch den Einsatz anderer Instrumente wie den Standardvertragsklauseln oder Binding Corporate Rules.
Unternehmen können sich allerdings ausschließlich auf den Angemessenheitsbeschluss stützen, sofern das US-Unternehmen eine entsprechende Zertifizierung vorweisen kann. Vor diesem Hintergrund kann es unter Umständen sinnvoll sein, dennoch auf eine Einwilligung nach Art. 49 I 1 lit. a DSGVO oder geeigneten Garantien nach Art. 46 DSGVO zu setzen, um sich so bereits jetzt für den Fall des Scheiterns des Angemessenheitsbeschlusses abzusichern. Denn eine Übermittlung auf diesen Grundlagen bliebe von einer Aufhebung des Angemessenheitsbeschlusses unberührt. Allerdings gilt es hier zu beachten, dass die Nutzung von Standardvertragsklauseln oder anderer geeigneter Garantien, trotz deutlich verbesserter Rechtslage in den USA, weiterhin in der Regel ein Transfer Impact Assessment (TIA) erfordert, in dem zu prüfen ist, ob das nationale Recht der Übermittlung entgegensteht.
Ob ein Unternehmen die Übermittlung der Daten schließlich auf die Nutzung von Standardvertragsklauseln oder anderer geeigneter Garantien (inkl. TIA) stützt oder auf die – weniger aufwendige, einfachere – Rechtfertigung durch den Angemessenheitsbeschluss setzt, muss im jeweiligen Einzelfall jeder Verantwortlicher selbst entscheiden.
Bei den unter dem Datenschutzrahmen zertifizierten Unternehmen spricht jedoch bereits die - mit dem Angemessenheitsbeschluss einhergehende – Rechtssicherheit dafür, die Datenübermittlung (zumindest bis auf Weiteres) auf das neue Datenschutzabkommen der Europäischen Kommission zu stützen.
Praktische Bedeutung: Was sie jetzt tun müssen
Grundsätzlich stellt der neue Angemessenheitsbeschluss für EU-Unternehmen, welche einen US-Dienst einsetzen und dadurch personenbezogene Daten in die USA übermitteln, eine deutliche Erleichterung dar und ist - aus rein wirtschaftlicher Sicht - sicherlich positiv zu bewerten.
Bevor Unternehmen allerdings die Übermittlung von personenbezogenen Daten auf diesen Angemessenheitsbeschluss stützen, müssen sie zuvor unbedingt prüfen, ob das Partnerunternehmen in den USA unter dem EU-US Data Privacy Framework zertifiziert ist. Dafür hat das US Departement of Commerce online eine Liste der zertifizierten Unternehmen veröffentlicht.
Unterfällt die Übermittlung dem Angemessenheitsbeschluss, sind demnach keine weiteren Übermittlungsinstrumente oder zusätzliche Maßnahmen nötig.
Ist das Unternehmen, an das die personenbezogenen Daten übermittelt werden, nicht auf der Liste geführt, sind nach wie vor besondere Schutzmaßnahmen (wie Standardvertragsklauseln und „Transfer Impact Assessment“) erforderlich.
Stützen Unternehmen Ihre Übermittlung in Zukunft auf den Angemessenheitsbeschluss, müssen Sie zwingend Ihre Datenschutzerklärung aktualisieren.
Offen bleibt, ob der verbesserte Schutz der personenbezogenen Daten einer erneuten Prüfung durch den EuGH standhält oder ob auch dieser Versuch in einer weiteren Niederlage – möglicherweise durch Schrems III – endet.
Sie interessiert das Thema und wünschen nähere Informationen?
Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber