Am 10. Juli 2023 hat die Europäische Kommission den lange angekündigten Angemessenheitsbeschluss für die Übermittlug personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ veröffentlicht. Der Angemessenheitsbeschluss bestätigt, dass die USA ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die auf der Grundlage des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden.
Die Rechtmäßigkeit der Datenübermittlung im Übrigen vorausgesetzt, können ab sofort daher personenbezogene Daten aus der EU an US-Unternehmen übermittelt werden, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen.
Voraussetzung ist allerdings, dass das US-Unternehmen dem EU-US-Datenschutzrahmen beitritt. Hierfür muss sich das Unternehmen verpflichten, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten, z. B. die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und die Kontinuität des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.
Die Zertifizierung erfolgt über das US-Handelsministerium (US Department of Commerce), das auch überwacht, ob die teilnehmenden Unternehmen die Zertifizierungsanforderungen weiterhin erfüllen.
Hintergrund
Eine Übermittlung von personenbezogenen Daten in Drittstaaten ist nach europäischem Recht nur zulässig, wenn auch dort ein angemessenes Datenschutzniveau gesichert ist. Nach Art. 45 DSGVO kann die europäische Kommission feststellen, dass ein Drittland oder eine internationale Organisation ein solches angemessenes Datenschutzniveau gewährleistet (so geschehen für Andorra, Argentinien, Canada, Färöer Inseln, Guernsey, Großbritannien, Israel, Isle of Man, Japan, Jersey, Neuseeland, Südkorea, die Schweiz u. Uruguay). In diesem Fall bedarf es keiner weiteren Maßnahmen, ein Datentransfer ist ohne weiteres zulässig.
Der jetzt in Kraft getretene Angemessenheitsbeschluss ist bereits der dritte Versuch, eine rechtssichere Grundlage für die Datenübermittlung in die USA zu schaffen. Die Vorgängermodelle hatte der EuGH beide für ungültig erklärt:
- Bereits im Jahr 2015 entschied der EUGH, dass das damals mit den USA bestehende sogenannte „Safe Habour Abkommen“ keinen ausreichenden Schutz für eine Datenverarbeitung bietet und damit auf dieser Basis keine Übermittlung von Daten in die USA gerechtfertigt werden kann (sog. „Schrems I“-Entscheidung).
- Das Nachfolgemodell war das“ EU-US-Privacy-Shield“-Abkommen, das seit 2016 die Grundlage für einen Großteil der Datenübermittlungen in die USA bildete. Im Jahr 2020 erklärte der EuGH aber auch dieses Abkommen datenschutzrechtlich für unzureichend (sog. „Schrems II“-Entscheidung). Der EuGH befand, dass das US-Recht kein gleichwertiges Schutzniveau biete, da die US-Sicherheitsbehörden unbeschränkte Überwachungsbefugnisse hätten, während den betroffenen Personen keinerlei Garantien für ihre Rechte gewährt würden.
Ausblick
Angesichts dieser Historie bleibt abzuwarten, ob die durch den neuen Angemessenheitsbeschluss geschaffene Rechtssicherheit lange anhalten wird. Die NGO noyb, deren Gründer Max Schrems schon die Vorgängermodelle „Safe Habour“ und „Privacy-Shield“ zu Fall gebracht hat, hat bereits angekündigt, das neue transatlantische Datenschutzabkommen dem EuGH vorzulegen, da es weitgehend eine Kopie des gescheiterten „Privacy Shield“-Abkommens sei. Anders als von der Europäischen Kommission behauptet, würde sich am US-Recht wenig ändern, da weiterhin nur US-Personen verfassungsmäßige Rechte hätten und nicht anlasslos überwacht werden dürften.
Würde sich der EuGH dieser Auffassung anschließen, könnten personenbezogene Daten – wieder – nur auf der Grundlage von „geeigneten Garantien“ nach Art. 46 DSGVO (z.B. Standardvertragsklauseln oder von der zuständigen Aufsichtsbehörde genehmigte Binding Corporate Rules) oder auf der Grundlage der allgemeinen Rechtfertigungsgründe nach der DSGVO (z.B. Einwilligung der betroffenen Person) in die USA übermittelt werden. Eine Entscheidung des EuGH dürfte aber nicht vor dem Jahr 2025 zu erwarten sein. Bis dahin bietet das neue Datenschutzabkommen eine erhebliche Erleichterung für den Datentransfer in die USA, insbesondere auch für den Transfer von Personaldaten im Konzernverbund (z.B. zu einem amerikanischen Mutterunternehmen) sowie zu Dienstleistern, die Personaldaten verarbeiten.