Am 10. Juli 2023 hat die EU-Kommission den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (EU-US DPF) veröffentlicht. Damit gilt ab sofort, dass für Daten, die an ein nach dem EU-US DPF zertifiziertes US-Unternehmen übermittelt werden, ein in den USA ein angemessenes Datenschutzniveau besteht.

Die Vorgänger des EU-US DPF – das Safe Harbor-Abkommen und das Privacy Shield – wurden vom EuGH jeweils in den Jahren 2015 (Urteil vom 6. Oktober 2015, Az. C-362/14) und 2020 (Urteil vom 16. Juli 2020, Az. C-311/18) für ungültig erklärt.

Was bedeutet der Angemessenheitsbeschluss für Unternehmen?

Nach dem Ende vom Privacy Shield brauchten Unternehmen in der EU, die personenbezogene Daten an US-Unternehmen übermitteln wollten, die neuen EU-Standarddatenschutzklauseln. Diese waren in Reaktion auf das EuGH-Urteil zu Schrems II von der EU-Kommission im Juni 2021 veröffentlicht worden (wir berichteten).

Herzstück der Klauseln ist ein Transfer Impact Assessment (TIA), auf Deutsch auch Datentransfer-Folgenabschätzung (DTFA) genannt. Dieses Assessment muss durchgeführt werden, um die datenschutzrechtlichen Risiken im Empfängerland bewerten zu können. Das TIA wiederum hat den Aufwand des Abschlusses der Standarddatenschutzklauseln spürbar erhöht und kann Rechtsunsicherheiten beim Datentransfer letzten Endes doch nicht völlig beseitigen, da die Vorgaben für das TIA in den Klauseln recht schwammig gehalten sind.

Ein Abschluss der Standarddatenschutzklauseln und die Durchführung eines TIA sind beim Datentransfer an US-Unternehmen im Rahmen des EU-US DPF zukünftig nicht mehr notwendig.

Für Unternehmen in der EU ist damit mehr Rechtssicherheit gewonnen.

Wird der Angemessenheitsbeschluss Bestand haben?

Die Vergangenheit hat gezeigt, dass die Angemessenheitsbeschlüsse der EU-Kommission regelmäßig vom EuGH gekippt worden sind. Safe Harbor hatte 15 Jahre Bestand, das Privacy Shield nur fünf Jahre. Gegen beide Angemessenheitsbeschlüsse ist der Datenschutzaktivist Max Schrems mit Erfolg vorgegangen. Nach der Veröffentlichung des Beschlusses am 10. Juli von der EU-Kommission, erklärte Max Schrems auf der Website seiner Organisation noyb, das EU-US DPF sei nur eine Kopie des Privacy Shield und man werde die Entscheidung dem EuGH vorlegen. Es ist daher zu erwarten, dass der EuGH sich in einigen Jahren wieder mit dem EU-US DPF beschäftigen wird bzw. muss.

Entscheidend wird sein, ob das EU-US DPF signifikante Verbesserungen im Vergleich zu seinen Vorgängern enthält. Diese Verbesserungen sind aus unserer Sicht bereits zu erkennen:

  • So soll das Sammeln der Daten durch US-Geheimdienste auf das notwendige Maß eingeschränkt
  • Außerdem ist ein Rechtsbehelfsmechanismus eingeführt worden, der es Personen aus der EU erlaubt, über eine Aufsichtsbehörde in der EU eine Beschwerde zur Datenverarbeitung über die eigene Person in den USA einzureichen. Die eingereichte Beschwerde wird dann vom Civil Liberties Protection Officer (CLPO) bearbeitet. Gegen die Entscheidung des CLPO kann vor einem Gericht Klage erhoben werden. Dabei handelt es sich nicht um irgendein Gericht, sondern um ein Gericht, welches speziell für diese Art von Beschwerden vom US-Generalstaatsanwalt, dem US-Handelsministerium und einem unabhängigen Aufsichtsgremium für Bürgerrechte eingerichtet wurde.

Diese Verbesserungen sind durch eine Durchführungsverordnung von US-Präsident Biden in Kraft gesetzt worden.

Über die Details der Durchführungsverordnung haben wir hier und über die Einschränkungen der Datensammlung und dem Rechtsbehelfsmechanismus hier näher berichtet.

Zudem hat der Europäische Datenschutzausschuss im Detail Regelungen im Entwurf des EU-US DPF kritisiert, sich aber nicht grundsätzlich gegen das EU-US DPF ausgesprochen.

Der EuGH wird darüber zu entscheiden haben, ob diese Verbesserungen zu einem angemessenen Datenschutzniveau geführt haben.

Was müssen Unternehmen jetzt tun?

Zunächst ist festzuhalten, dass bereits abgeschlossene Standarddatenschutzklauseln weiterhin Bestand haben. Ob Angemessenheitsbeschluss und Standarddatenschutzklauseln konfliktfrei nebeneinander gelten können, muss im Einzelfall geprüft werden. Allerdings sollte man sich für ein Konstrukt entscheiden. Für das EU-US DPF spricht die größere Rechtssicherheit.

Die folgenden Punkte sollten geprüft werden, wenn an US-Dienstleister Daten im Rahmen des EU-US DPF übermittelt werden sollen:

1. Ist der Dienstleister nach dem EU-US DPF zertifiziert?

Hierzu wird es ab dem 17. Juli eine Liste der zertifizierten Unternehmen geben. Sollte dies der Fall sein, ist zu klären, ob die Zertifizierung sich auf alle Arten von personenbezogenen Daten erstreckt. Sollte das Unternehmen nicht zertifiziert oder die relevanten Datenarten nicht abgedeckt sein, so muss wieder – wie bisher – auf die Standarddatenschutzklauseln zurückzugreifen werden.

2. Muss die Datenschutzerklärung aktualisiert werden?

Ja. Wenn über die Website Daten von Besucher*innen an US-Unternehmen übermittelt werden, muss der Betreiber der Website über den Angemessenheitsbeschluss informieren. Daher gilt es, die Datenschutzerklärung zu aktualisieren, sobald klar ist, ob Daten auf Grundlage des EU-US DPF an zertifizierte US-Unternehmen übermittelt werden.

3. Was passiert mit dem Cookie-Banner?

Bisher wurde für den Datentransfer in die USA die Einwilligung der Besucher über das Cookie-Banner eingeholt. Bei der Übermittlung an zertifizierte US-Unternehmen auf Grundlage des EU-US DPF könnte diese Einwilligung entfallen. Dies gilt aber nicht für die Einwilligung in das Tracking bzw. die Profilbildung zu Werbezwecken selbst.

4. Müssen die Informationen zur Datenverarbeitung aktualisiert werden?

Neben der Datenschutzerklärung müssen auch alle weiteren Informationen zur Datenverarbeitung (z. B. für Bewerber*innen oder Beschäftigte) angepasst werden, bei denen zertifizierte US-Unternehmen zum Einsatz kommen.

5. Was ändert sich bei der Beantwortung von Auskunftsbegehren?

Antragssteller*innen müssen bei der Übermittlung von Daten in ein Drittland über die Absicherung des Datenschutzniveaus unterrichtet werden. Soweit bei US-Unternehmen bisher auf Standarddatenschutzklauseln verwiesen wurde, hat auch hier eine Anpassung zu erfolgen.

6. Muss das Verzeichnis für Verarbeitungstätigkeiten aktualisiert werden?

Bei den Verarbeitungstätigkeiten muss der Verantwortliche – wie in der Datenschutzerklärung – die Datenübermittlung in die USA und den zugrundeliegenden Angemessenheitsbeschluss dokumentieren. Auch hier gilt es, die neue Rechtslage zu berücksichtigen.

Anpassungsbedarf mit einem Lächeln

Für Unternehmen innerhalb der EU wird der Datentransfer in die USA datenschutzrechtlich sicherer. Es gibt Anlass zur Hoffnung, dass der EU-US DPF vor dem EuGH Bestand haben wird.

Auch wenn es zunächst wieder Aufwand für die Unternehmen bedeutet, so ist die Situation diesmal anders als nach dem Schrems II-Urteil des EuGH, das zunächst ein Chaos verursacht hatte.