Der Datentransfer zwischen der EU und den USA stand lange Zeit im Fokus der Datenschutzdebatte.
Früher basierte der Datenaustausch auf dem Safe-Harbor-Abkommen und dem EU-US-Privacy Shield. Beide Abkommen wurden durch den EuGH für unwirksam erklärt („Schrems I – Urteil“ und „Schrems II – Urteil“). Seitdem konnte der US-Transfer personenbezogener Daten nur über andere Instrumente, konkret etwa Standardvertragsklauseln, Binding Corporate Rules oder womöglich eine Einwilligung (Art. 46, 49 Abs. 1 lit. a DSGVO) abgesichert werden. Rechtsunsicherheiten verblieben allerdings auch hierbei, da es Bedenken bezüglich des angemessenen Schutzniveaus in den USA gab.
Neues EU-US-Data Privacy Framework gibt Rechtssicherheit
Am 10. Juli 2023 hat die EU-Kommission einen neuen Angemessenheitsbeschluss nach Art. 45 DSGVO erlassen, um den Datentransfer in die USA zu regeln: Das neue EU-US-Data Privacy Framework („DPF“). Einen ersten Überblick gibt die Kommission hier, der Angemessenheitsbeschluss selbst ist hier abrufbar.
US-Tools können nun wieder ohne das enorme Risiko der letzten 3 Jahre genutzt werden. Die USA wird wieder als Land mit angemessenem Datenschutzniveau anerkannt. Nach intensiven Verhandlungen wurden Datenschutzmaßnahmen angepasst, um das Schutzniveau zu gewährleisten.
Der Beschluss hat große Auswirkungen auf Unternehmen, die Daten zwischen der EU und den USA übertragen. Sie können den Datentransfer nun einfacher aufrechterhalten, ohne alternative Mechanismen nutzen zu müssen. Das erleichtert den Handel und die Zusammenarbeit.
Der Angemessenheitsbeschluss ermöglicht einen den DSGVO-konformen US-Transfer personenbezogener Daten unter deutlich einfacheren und sichereren Bedingungen: Der Datenexporteur in der EU muss lediglich prüfen, ob sich der Datenempfänger unter dem DPF zertifiziert hat.
Ist mit der Aufhebung des neuen Abkommens durch den EuGH zu rechnen?
Ob und wann eine Klage gegen das neue DPF beim EuGH eingereicht wird („Schrems III“?) und der EuGH das neue Abkommen ebenfalls für unwirksam erklärt, lässt sich noch nicht absehen. Die Organisation NOYB kündigte jedenfalls schon an, auch gegen dieses Abkommen vorgehen zu wollen. Für Unternehmen ist wichtig, dass der Angemessenheitsbeschluss jedenfalls so lange wirksam ist, bis der EuGH ihn aufgehoben hat.
Was Unternehmen jetzt tun müssen
- Sofern noch nicht geschehen sollten Unternehmen den US-Transfer personenbezogener Daten identifizieren. Werden Tools von US-Dienstleistern (z.B. Microsoft, Amazon) eingesetzt? Werden personenbezogene Daten in die USA transferiert? Wo werden die Daten gespeichert?
- Unternehmen müssen prüfen, ob eingebundene US-Unternehmen unter dem DPF zertifiziert sind: Dies wird über die US-Website https://www.dataprivacyframework.gov/s/ voraussichtlich ab dem 17. Juli 2023 möglich sein.
- Unternehmen müssen ihre Datenschutzerklärungen auf den Websites und allen Betroffeneninformationen nach Art. 13, 14 DSGVO, etwa der Information der Mitarbeitenden aktualisieren.