Angemessenheitsbeschluss der EU-Kommission für die USA und Verlautbarungen der Aufsichtsbehörden

Die Übermittlung von personenbezogenen Daten in Länder außerhalb der EU (sog. Drittländer) ist nach der Datenschutzgrundverordnung („DSGVO“) nur zulässig, wenn geeignete Datenschutzgarantien bestehen. Aufgrund von Angemessenheitsbeschlüssen der Europäischen Kommission können personenbezogene Daten frei und sicher aus dem Europäischen Wirtschaftsraum (EWR) in ein Drittland übermittelt werden, ohne dass weitere Bedingungen oder Genehmigungen erforderlich sind. In den letzten drei Jahren gab es für die USA keinen gültigen Angemessenheitsbeschluss, nachdem der Europäische Gerichtshof (nachfolgend „EuGH“) die beiden Vorgängerabkommen Safe Harbour (“Schrems I”) und den Privacy Shield (“Schrems II”) nach Klagen des österreichischen Datenschutzaktivisten Max Schrems für unwirksam erklärte. Das DPF soll nun als Nachfolgemodell wieder Rechtssicherheit im Drittlandtransfer in die USA schaffen.

Mit dem DPF werden verbindliche Garantien geregelt, um den vom EuGH geäußerten Bedenken Rechnung zu tragen. Dabei werden die Rechte von EU-Bürgern erheblich ausgeweitet und ein neues zweistufiges Rechtsbehelfsverfahren eingeführt. Ziel ist u. a. die EU-Daten vor unberechtigten Zugriffen durch die US-Nachrichtendienste zu schützen. So ist vorgesehen, dass sich US-Nachrichtendienste verpflichten, den Zugriff auf Daten von EU-Bürgern auf das zum Schutz der nationalen Sicherheit erforderliche und verhältnismäßige Maß zu beschränken. EU-Bürger können eine Beschwerde beim “Civil Liberties Protection Officer”, dem Bürgerrechtsbeauftragten der US-Nachrichtendienste, einreichen. Die Entscheidung des “Civil Liberties Protection Officer” kann zudem vor dem neu geschaffenen “Data Protection Review Court” anfochten werden.

Unternehmen können sich nur dann auf den DPF berufen, wenn der jeweilige Datenimporteur, an den personenbezogene Daten übermittelt werden, auch unter dem DPF zertifiziert ist. Dies müssen Unternehmen in der EU vorab prüfen. Das US-Department of Commerce veröffentlicht – wie auch seinerzeit für die Vorgängerabkommen Safe Harbour und Privacy Shield – online eine entsprechende Liste (EU-US-DPF-Liste), anhand welcher überprüft werden kann, ob die betreffende Organisation zertifiziert ist. Für den Fall, dass der Empfänger über keine Zertifizierung verfügt, bleibt es bei der notwendigen Anwendung der Standardvertragsklauseln („SCC“). Allerdings kann dann aller Voraussicht nach im Rahmen der Durchführung des Transfer Impact Assessments („TIA“) auf eine intensive Prüfung des Vorliegens von ausreichenden Zusatzgarantien durch den Verweis auf den Angemessenheitsbeschluss verzichtet werden.

Rechtssicherheit bietet das DPF nur so lange, wie ein „angemessenes Schutzniveau“ in den USA gewährleistet ist und der EuGH das DPF nicht für unwirksam erklärt. Der NOYB-Vorsitzende Max Schrems, der beide vorherigen Angemessenheitsbeschlüsse vor dem EuGH erfolgreich angegriffen hatte, bereitet sich bereits jetzt auf die erneute Anfechtung beim EuGH vor. Sollte der Fall dem EuGH noch dieses Jahr vorgelegt werden, wäre eine endgültige Entscheidung voraussichtlich nicht vor 2025 zu erwarten. Zu berücksichtigen ist dabei, dass der EuGH in der Vergangenheit den Privacy Shield mit sofortiger Wirkung für ungültig erklärt und den Unternehmen keine Frist für den Wechsel zu einem alternativen Übermittlungsmechanismus eingeräumt hat.

Inzwischen gibt es erste Verlautbarungen der Aufsichtsbehörden, die jedoch kein einheitliches Bild zeichnen. Die Datenschutzkonferenz („DSK“) hat am 4. September 2023 mit den Anwendungshinweisen zum Angemessenheitsbeschluss erste Erläuterungen zur neuen Rechtslage veröffentlicht. Neben allgemeinen Informationen erteilt die DSK insbesondere an einzelnen Stellen konkrete Hinweise zu den Vorgaben an den Datentransfer. Insbesondere weist die DSK darauf hin, dass mit der Zertifizierung eines US-Datenimporteurs nicht der Datentransfer jeglicher Daten erfasst sei. Beschäftigtendaten seien etwa nur dann von der Zertifizierung eines US-Datenimporteurs erfasst, wenn der Eintrag des US-Datenimporteurs in der EU-US-DPF-Liste den Eintrag „HR-Data“ in der Rubrik „Covered Data“ enthält. Überdies enthalten die Erläuterungen der DSK weitreichende Hinweise für betroffene Personen in Bezug auf die Rechtsschutzmöglichkeiten gegen die Nichteinhaltung der Grundsätze des DPF (die DSK benennt etwa die verschiedenen zuständigen Beschwerdestellen und Organisationen innerhalb der USA und der EU). Zusätzlich bekräftigt die DSK im Rahmen ihrer Hinweise, dass neben dem Angemessenheitsbeschluss keine weitere Legitimation für den Datentransfer in die USA notwendig ist und bei Durchführung des TIA die im Angemessenheitsbeschluss ausgeführten Bewertungen berücksichtigt werden können. 

In eine etwas andere Richtung geht ein ebenfalls am 4. September veröffentlichtes Papier des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit („TLfDI“). In dieser Verlautbarung weicht der TLfDI ausdrücklich vom Votum der DSK ab und weist erneut auf bestehende Risiken beim Datentransfer in die USA hin. Anders als die DSK legt der TLfDI den Unternehmen nahe, zunächst eine Entscheidung des EuGH abzuwarten. 
 

Wer in Zukunft nicht gezwungen sein will, ad hoc auf politische Entscheidungen der EU-Kommission, des EuGH oder der US-Regierung zu reagieren, setzt beim Einsatz von US-Anbietern am besten nicht nur auf den Angemessenheitsbeschluss, sondern ergreift vorsichtshalber auch weitere Maßnahmen, wie z.B. den Abschluss der SCCs als alternativer Transfermechanismus, oder prüft, ob andere Rechtsgrundlagen den Transfer rechtfertigen können (Art. 49 DSGVO). Bestehende SCCs sollten daher zunächst nicht ersetzt werden, da offen ist, ob und wie lange das DPF in Kraft bleibt. Hierfür spricht auch die uneinheitliche Auffassung innerhalb der Aufsichtsbehörden. Die Überprüfung und Bewertung des eigenen Datentransfers an US-Dienstleister im Rahmen der Durchführung eines TIAs ist weiterhin zu empfehlen. Dieses bleibt ein wertvolles Instrument, um sicherzustellen, dass diese die notwendigen Datenschutzanforderungen vollständig erfüllen. Auch Übermittlungen in Drittstaaten mit angemessenem Datenschutzniveau bedürfen einer Rechtsgrundlage für die Datenverarbeitung nach Art. 6 DSGVO oder 9 DSGVO bzw. des BDSG. Das DPF ist zudem kein Freibrief für jegliche Datenübermittlung in die USA. Es gibt Sonderregelungen, wie bspw. bei der Verarbeitung von Gesundheitsdaten. Das DPF macht zudem den Abschluss von Auftragsverarbeitungsverträgen oder Joint-Controller-Vereinbarungen nicht obsolet. Verschaffen Sie sich auch einen Überblick über Subunternehmer Ihrer US-Vertragspartner, die ggf. nicht nur in den USA, sondern in China oder Indien ihren Sitz haben. Auch mit diesen sind vertragliche Regelungen und ausreichende Garantien zu vereinbaren, die den Transfer von Daten legitimieren. Der Hinweis auf einen Angemessenheitsbeschluss bei einem Drittlandtransfer ist gemäß Art. 13 Abs. 1 lit. f) DSGVO verpflichtend. Auch bei der Angabe der Empfänger der übermittelten Daten muss darüber informiert werden, ob diese unter das DPF fallen. Und auch die Verarbeitungsverzeichnisse im Sinne des Art. 30 DSGVO, die einen US-Datentransfer dokumentieren, müssen durch die Angabe des Angemessenheitsbeschlusses als Rechtsgrundlage für den Datentransfer ergänzt werden.