Recht und Steuern

Datenschutz: Übermittlung personenbezogener Daten in die USA

Nachdem der EuGH mit Urteil vom 16. Juli 2020 das frühere EU-US Privacy Shield für unwirksam erklärt hatte, herrschte große rechtliche Unsicherheit beim Datentransfer in die USA. Seit dem 10. Juli 2023 gewährleistet der Datenschutzrahmen EU-USA (U.S. Data Privacy Framework) einen sicheren Datenverkehr und bietet Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit.

Hintergrund DSGVO

Die DS-GVO gestattet die Übermittlung personenbezogener Daten in ein sogenanntes Drittland nur dann, wenn dort ein angemessenes Schutzniveau sichergestellt ist.

Das EU-US Privacy Shield

Die EU-Kommission hatte im Juli 2016 den mit den USA verhandelten Angemessenheitsbeschluss Privacy Shield erlassen, um geregelte Datentransfers in die USA zu ermöglichen. Wenn sich ein US-Unternehmen freiwillig den Bedingungen des Privacy Shield unterstellt und das US-Handelsministerium (FTC) die Selbstzertifizierung überprüft hatte, konnten Datenübermittlungen an diese zertifizierten US-Unternehmen auf der Grundlage des Privacy Shield erfolgen. Voraussetzung war natürlich, dass die Datenübermittlung grundsätzlich legitimiert war, d.h. auf einer Rechtsgrundlage basierte.

Die Entscheidung des EuGH

Der EuGH hat den Angemessenheitsbeschluss für ungültig erklärt, weil die personenbezogenen Daten von EU-Bürgerinnen und –Bürgern in den USA unverhältnismäßigen Zugriffen durch US-amerikanische Sicherheitsbehörden ausgesetzt seien. Damit werden Datentransfers in die USA, die auf das EU-US-Privacy Shield gestützt wurden, unzulässig (Urteil vom 16.07.2020, Az.: C-311/18, Schrems II). Seit Juli 2020 durften personenbezogene Daten nicht mehr auf Basis des Privacy Shield in die USA übermittelt werden. Der EuGH hat keine Übergangs- oder Schonfrist eingeräumt.
Die Entscheidung des EuGH betraf auch die sog. EU-Standardvertragsklauseln (SCC). Sie bleiben gültig, aber die europäischen Unternehmen (und im Anschluss die einzelnen Datenschutzbehörden) müssen im Einzelfall prüfen, ob in dem jeweiligen Drittland ein angemessenes Datenschutzniveau gewährleistet ist und mit dem Datenempfänger im Drittland vereinbarte SCC dies sicherstellen können. Die EU-Kommission hat im Juni 2021 die finale Fassung  neuer Standarddatenschutzklauseln für Übermittlungen personenbezogener Daten an Drittländer („SDK“) veröffentlicht, die die bisherigen SCC ersetzen. Sie ermöglichen die Umsetzung der vom EuGH verlangten, zusätzlichen organisatorischen und vertraglichen Maßnahmen.

Datenschutzrahmen EU-USA: EU-U.S. Data Privacy Framework

Nachdem der Gerichtshof der Europäischen Union den vorherigen Angemessenheitsbeschluss zum Datenschutzschild EU-USA für ungültig erklärt hatte, nahmen die Europäische Kommission und die US-Regierung Gespräche über einen neuen Rahmen auf, in dem die vom Gerichtshof erhobenen Bedenken angegangen wurden.
Nach einer grundsätzlichen Einigung zwischen EU und den USA im Jahr 2022 hat die Europäische Kommission am 10. Juli 2023 ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. Darin wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden.
Damit können ab sofort personenbezogene Daten in die USA übermittelt werden, ohne dass weitere Übermittlungsinstrumente oder zusätzliche Maßnahmen erforderlich sind. Voraussetzung ist jedoch, dass die Organisation, an die übermittelt werden soll, auch unter dem EU-E.S. Data Privacy Framework zertifiziert ist.
Viele große US-Unternehmen haben angekündigt, sich freiwillig nach diesem neuen Angemessenheitsbeschluss zertifizieren zu lassen. Zahlreiche Unternehmen sind bereits zertifiziert, darunter auch Global Player wie Microsoft oder Google. Das U.S. Department of Commerce veröffentlicht eine entsprechende Liste, anhand welcher überprüft werden kann, ob die betreffende Organisation zertifiziert ist. Die US-amerikanische Federal Trade Commission wird die Einhaltung der Vorschriften durch US-Unternehmen durchsetzen. 
Nach dem Scheitern von „Safe Harbour“ und „Privacy Shield“ ist dies nun der dritte Versuch, einen sicheren Rechtsrahmen für eine Datenübermittlung in die USA zu schaffen. Die EU-Kommission ist zuversichtlich, dass dieser neue Versuch einer rechtlichen Überprüfung durch den EuGH auch standhalten wird. Ob das der Fall sein wird, bleibt allerdings abzuwarten, denn Klagen gegen diesen Angemessenheitsbeschluss sind bereits angekündigt.
Die Datenschutzkonferenz ha Anwendungshinweise zum EU-U.S. Date Privacy Framework veröffentlicht.