Datenübermittlung in Drittstaaten: Mehr Rechtssicherheit für Datenverkehr in die USA
Für Datentransfers in Drittstaaten gelten strenge Voraussetzungen. Nach zwei gescheiterten Anläufen gibt es nun im Datenverkehr mit den USA einen neuen Datenpakt. Er heißt EU-U.S. Data Privacy Framework. Dazu hat die EU-Kommission einen Angemessenheitsbeschluss gefasst, der mehr Rechtssicherheit und Klarheit für den Verkehr mit Daten mit den USA bringt. Andere Drittstaaten sind von diesem Beschluss nicht betroffen.
Allgemeine Regeln Datentransfers in Drittstaaten
Werden personenbezogene Daten in Drittstaaten übermittelt, müssen die folgenden beiden Voraussetzungen gegeben sein:
- Rechtsgrundlage für die Datenverarbeitung, z. B. Auftragsverarbeitungsvertrag
- Angemessene Garantie für ein gleichwertiges Datenschutzniveau im Drittstaat
z. B. Angemessenheitsbeschluss, Standarddatenschutzklauseln (SCC), Binding Corporate Rules (BCR), Ausnahmen nach Art. 49 Abs. 1 DSGVO
Datentransfer in die USA - Neu: EU-US Data Privacy Framework (DPF)
Unternehmen bekommen für Datentransfers in die USA ab sofort mehr Rechtssicherheit. Die EU-Kommission hat am 10.07.2023 den neuen Angemessenheitsbeschluss EU-US Data Privacy Framework angenommen. Mit dem Angemessenheitsbeschluss können ab sofort alle personenbezogenen Daten aus der EU an zertifizierte US-Unternehmen übermittelt werden, ohne dass weitere angemessene Garantien (z. B. SCC oder BCR) oder zusätzliche Maßnahmen erforderlich sind.
Praxistipps - Prüfschritte und Vorgehensweise beim Datentransfer mittels DPF
- Überprüfen Sie, ob das US-Unternehmen, an das personenbezogene Daten aus der EU übermittelt werden sollen, auch unter dem EU-US Data Privacy Framework zertifiziert ist.
Das U.S. Department of Commerce stellt diese Zertifizierungen aus und veröffentlicht eine Liste der hiernach freiwillig zertifizierten US-Unternehmen.
Ferner ist das U.S. Department of Commerce zuständig und überwacht, ob ein nach DPF zertifiziertes US- Unternehmen die Anforderungen an die Zertifizierung erfüllt.
Bitte beachten Sie:
Prüfen Sie die gesamte Kette an Drittstaatentransfers auch bezogen auf Subunternehmer. Diesen müssen entsprechende Garantien nach DSGVO für ein angemessenes Datenschutzniveau (z. B. DPF oder SCC und ggf. Transfer Impact Assessment (TIA), BCR) vorweisen. - Prüfen Sie zudem, ob Sie Ihre Datenschutzdokumentation (Datenschutzerklärung, Informationspflichten, Verzeichnis von Verarbeitungstätigkeiten) bezogen auf Drittstaatentransfers anpassen müssen.
- Steht ein US-Unternehmen nicht auf der Liste des U.S. Department of Commerce, so müssen andere Garantien nach DSGVO die Datenübermittlung in die USA rechtfertigen. Dies bedeutet, diese ist rechtlich an den Erfordernissen zu prüfen, die für Drittstaaten ohne Angemessenheitsbeschluss (s. u.) gelten.
Hintergrundinformationen:
Bericht vom 7. Deutsch-amerikanischen Datenschutztag
U.S. Department of Commerce - Aktuelle Informationen zum DPF
Zustimmung des Ausschusses zur Unterstützung der EU-Kommission nach Art. 93 DSGVO (Comitology Register)
Bitte beachten Sie:
- Das Data Privacy Framework beschäftigt sich ausschließlich mit dem Datentransfer.
- Es stellt ein Instrument der DSGVO dar, das Drittstaatentransfers in die USA im beschriebenen Umfang legitimiert.
- Das Bayerische Landesamt für Datenschutzaufsicht empfiehlt:
- Unternehmen sollten vorerst bestehende SCC nicht gegenüber Vertragspartnern widerrufen.
- Warten Sie ab, bis Ihr Vertragspartner Ihnen ein überarbeitetes, d.h. ein auf die Datenübermittlung in die USA auf DPF gestütztes Vertragsangebot vorgelegt hat und nehmen Sie dieses dann an.
- Andere Datenschutzthemen wie Tracking sind darin nicht behandelt, sondern gesondert zu prüfen.
Stand: 03.08.2023
Datentransfer in Drittstaaten ohne Angemessenheitsbeschluss
Für derartige Datentransfers müssen eine Rechtsgrundlage und eine angemessene Garantie (z. B. SCC - ggf. in der Variante "SCC plus" -, BCR, Ausnahmen nach Art. 49 Abs. 1 DSGVO) gegeben sein.
Die EU-Kommission hat am 07.06.2021 an die DSGVO angepasste Standardvertragsklauseln (SCC) im Europäischen Amtsblatt veröffentlicht.
Das Urteil des EuGH vom 16.07.2020 zum EU-US Privacy Shield wirkt sich weiterhin auf die Anwendung der Standardvertragsklauseln (SCC) aus. Diese hat der EuGH nicht prinzipiell für unwirksam erklärt. Allerdings müssen die europäischen Unternehmen und im Anschluss die einzelnen Datenschutzbehörden im Einzelfall prüfen, ob in dem jeweiligen Drittland ein angemessenes Datenschutzniveau gewährleistet ist und mit dem Datenimporteur im Drittland vereinbarte SCC dies sicherstellen können.
Bezogen auf die USA wird generell – auch bei Übermittlungen via SCC oder BCR - bei der Prüfung eines angemessenen Datenschutzniveaus positiv zu berücksichtigen sein, dass die US-Regierung mit dem neuen Data Privacy Framework wichtige Forderungen aus dem EuGH-Urteil umgesetzt hat. Es handelt sich hierbei um die Rechtsgarantien nach der Europäischen Menschrechtscharta:
- Beschränkung des Zugangs von US-Geheimdiensten auf ein verhältnismäßiges Maß
- Gerichtliche Überprüfung von möglichen Datenschutzverletzungen durch den sog. Data Protection Review Court
Praxistipps
Im Gegensatz zu Angemessenheitsbeschlüssen rechtfertigen SCC einen Datentransfer immer nur im Einzelfall bezogen auf den jeweiligen Vertrag. Bei jedem weiteren Vertragsabschluss müssen neue SCC abgeschlossen werden.
Der Europäischen Datenschutz-Ausschuss (EDSA) hat überarbeitete Leitlinien (Stand: 18.06.2021) zur Verfügung gestellt. Die europäischen Aufsichtsbehörden haben Hinweise zu zusätzlichen Maßnahmen für die Standarddatenschutzklauseln (sog. SCC plus) erarbeitet.
Empfehlung: Dokumentieren Sie die zusätzlichen Maßnahmen zu Ihren SCC.
Brexit und Datenschutz
Datentransfers nach UK auf der Basis eines sog. Angemessenheitsbeschlusses
Unternehmen in der EU können personenbezogene Daten seit dem 28.06.2021 befristet auf vier Jahre (Verlängerungsoption möglich) auf der Grundlage eines sog. Angemessenheitsbeschlusses in das Vereinigte Königreich übermitteln. Auf diesen sog. "Angemessenheitsbeschluss im Rahmen der DSGVO" können alle Datentransfers von der EU in das Vereinigte Königreich gestützt werden, ohne dass dieser für einzelne Datentransfers gesondert abgeschlossen werden musste. Die EU-Kommission hat am 28.06.2021 zwei Angemessenheitsbeschlüsse zum Vereinigten Königreich in Kraft gesetzt; einen im Rahmen der Datenschutzgrundverordnung (DSGVO) und einen im Rahmen der Strafverfolgung.
Hier die Pressemitteilung der EU-Kommission
Hier finden Sie die Angemessenheitsbeschlüsse und ergänzende Dokumente