Am 10. Juli 2023 war es endlich soweit: Die EU-Kommission veröffentlichte den lang ersehnten Angemessenheitsbeschluss für die USA. Damit wurde zumindest für die kommenden Jahre eine gewisse Rechtssicherheit für den Datentransfer aus der EU an Unternehmen und Organisationen mit Sitz in den USA geschaffen. Seit der Veröffentlichung dieser Entscheidung ist es wieder vereinfacht möglich, personenbezogene Daten in die USA zu übermitteln, ohne dass zusätzliche, hinreichende Garantien erforderlich sind. Die einzige zu prüfende Anforderung besteht darin, festzustellen, ob der Datenempfänger nach dem sogenannten EU-U.S. Data Privacy Framework (EU-US-DPF) zertifiziert ist. Ob ein Datenimporteur zertifiziert ist, kann der folgenden Datenbank entnommen werden: https://www.dataprivacyframework.gov/s/
Datenübermittlungen an Unternehmen bzw. Organisation, die über keine Zertifizierung verfügen, können nach wie vor nicht auf den Angemessenheitsbeschluss gestützt werden. In diesen Fällen muss also wie bisher auf andere Transfermechanismen der Art. 44 ff. DSGVO zurückgegriffen werden. Zumeist dürfte dann der Abschluss von EU-Standarddatenschutzklauseln (SCCs) und die Durchführung eines Transfer Impact Assessments (TIA) erforderlich sein.
Zertifizierungen nach dem EU-US-DPF
Anders als bei den bisherigen Angemessenheitsbeschlüssen der EU-Kommission, können personenbezogene Daten in die USA nur an zertifizierte Datenimporteure übermittelt werden. Hierbei wird zwischen einer Zertifizierung für „Non-HR-Data“ und „HR-Data“ unterschieden.
Doch welche Daten nun von welcher Zertifizierung – „Non-HR-Data“ oder „HR-Data“ umfasst werden, können wir an dieser Stelle leider nicht abschließend beantworten, denn hier gibt es zwei unterschiedliche Sichtweisen – die europäische sowie die US-amerikanische.
Unterschiedliche Auffassungen in den USA und der EU
In der praktischen Anwendung des EU-US-DPF stellt sich regelmäßig die Frage nach der Notwendigkeit einer gesonderten Zertifizierung für den Transfer von Beschäftigtendaten („HR-Data-Zertifizierung“). Unklar ist, auf wessen Beschäftigtendaten sich diese Zertifizierung bezieht. Handelt es sich um die Daten der Beschäftigten des US-Datenimporteurs oder die des Datenexporteurs mit Sitz in der EU?
Nach dem Verständnis der US-Seite betrifft die gesonderte Zertifizierung lediglich die Daten der Beschäftigten des Datenimporteurs in den USA. Dies würde bedeuten, dass EU-Unternehmen personenbezogene Daten ihrer Beschäftigten auch dann auf Grundlage des EU-US-DPF an US-Unternehmen übertragen können, wenn diese keine spezifische HR-Data-Zertifizierung haben.
Im Gegensatz dazu vertritt die EU die Auffassung, dass sich die HR-Data-Zertifizierung auf die Daten der Beschäftigten des EU-Datenexporteurs bezieht. Nach der europäischen Auffassung sollten demnach US-Unternehmen, welche Beschäftigtendaten aus der EU erhalten, die entsprechende HR-Data-Zertifizierung besitzen.
Stellungnahme des LfDI Baden-Württemberg (LfDI BW)
Hierbei stellt sich die Frage, welcher Auffassung in der Praxis gefolgt werden sollte. Der LfDI BW hat sich mit der Problematik beschäftigt und im Tätigkeitsbericht 2023 auf Seite 103 in Bezug auf die US-Auffassung Folgendes ausgeführt:
„Es ist somit denkbar, dass Exporteure in der EU sich dieses Verständnis zu eigen machen und einen Transfer personenbezogener Daten ihrer Beschäftigten gestützt auf den EU-US DPF auch an solche Stellen in den USA vornehmen, die nicht über die Zusatzzertifizierung für Beschäftigtendaten verfügen. [..]“
Hieraus geht jedoch nicht hervor, ob der LfDI BW neben der europäischen Auffassung auch die US-Auffassung datenschutzrechtlich für vertretbar hält. Aus diesem Anlass haben wir konkret bei der Aufsichtsbehörde Baden-Württemberg nachgefragt. Entsprechend der Rückmeldung hält die Behörde die US-Auffassung für denkbar und vertretbar, rät jedoch davon ab, diesen Weg zu beschreiten. Vielmehr empfiehlt sie, der europäischen Auffassung zu folgen und somit Beschäftigtendaten nur bei Vorliegen einer HR-Data-Zertifizierung zu übermitteln.
Fazit
Im Ergebnis herrscht nach wie vor keine Klarheit dahingehend, ob es sich bei „HR Data“ im Sinne des EU-US-DPF um Beschäftigtendaten des Datenexporteurs oder des Datenimporteurs handelt. Aufgrund der Empfehlung des LfDI BW, der europäischen Auffassung zu folgen, sollte unseres Erachtens jedoch eine Übermittlung von Beschäftigtendaten an US-Empfänger ohne entsprechende HR-Data-Zertifizierung auf Grundlage des EU-US-DPF unterbleiben. Dies ist auch deshalb konsequent, da die DSGVO und deren Übermittlungsinstrumente grundsätzlich den Schutz von EU-/EWR-Bürgern und nicht den von US-Bürgern in den Blick nehmen.
Daher empfehlen wir im o.g. Szenario weiterhin den Abschluss von SCCs. In diesem Zusammenhang ist sodann auch ein Transfer Impact Assessment (TIA) nach Klausel 14 der SCCs durchzuführen, welches nach der Rechtsprechung des EuGH grundsätzlich einer Bewertung der Rechtslage und ‐praxis des Drittlands und ggf. das Ergreifen geeigneter zusätzlicher Maßnahmen (sog. „supplementary measures“) bedarf. Dabei genügt es nach Auffassung des LfDI BW jedoch, sich der im EU-US-DPF aufgeführten Bewertung der EU‐Kommission anzuschließen und auf das Ergreifen zusätzlicher Maßnahmen zu verzichten (vgl. S. 104 Tätigkeitsbericht LfDI BW). Dies lässt sich damit begründen, dass nach Mitteilung der EU-Kommission alle von der US-Regierung im Bereich der nationalen Sicherheit implementierten Schutzmaßnahmen – einschließlich der Rechtsbehelfe – unabhängig von den verwendeten Übermittlungsinstrumenten für alle Datenübermittlungen im Rahmen der DSGVO an US-Unternehmen gelten (vgl. S. 26 DSK Anwendungshinweise).