Vor fast genau drei Jahren urteilte der Europäische Gerichtshof in der Causa „Schrems II“, dass das bis dato gültige Datenschutzabkommen zwischen den USA und der EU (Privacy Shield) ungültig ist. Mit dieser Entscheidung sorgte der Europäische Gerichtshof für große Rechtsunsicherheit auf Seiten der Unternehmen, die personenbezogene Daten in die USA übermitteln. Nun wurde von der EU-Kommission das „EU-US Data Privacy Framework“ als Nachfolger verabschiedet.
Warum sind solche Vereinbarungen notwendig?
Die Datenschutzgrundverordnung („DSGVO“) stellt in Kapitel V hohe Hürden an die Übermittlung von personenbezogenen Daten in Drittländer. Als Drittländer werden alle Länder verstanden, die nicht Mitglied der Europäischen Union bzw. des Europäischen Wirtschaftsraums sind.
Eine zulässige Möglichkeit zur Übermittlung von personenbezogenen Daten in Drittländer stellen sog. Angemessenheitsbeschlüsse der Europäischen Kommission dar. Die Europäische Kommission beurteilt im Vorfeld eines Angemessenheitsbeschlusses, ob in dem betroffenen Land ein Datenschutzniveau herrscht, das dem der Europäischen Union angemessen bzw. vergleichbar ist.
Wurde ein solcher Angemessenheitsbeschluss für das Empfängerland beschlossen, so können Unternehmen mit Sitz in der EU personenbezogene Daten in dieses Land übermitteln, ohne weitere Voraussetzungen zur Übermittlung in Drittländer einhalten zu müssen.
Was ist das EU-US Data Privacy Framework?
Das EU-US Data Privacy Framework ist die Grundlage eines solchen Angemessenheitsbeschluss. Nach Prüfung der in den USA geltenden Regelungen zum Schutz von personenbezogenen Daten kam die Europäische Kommission zur Einschätzung, dass die USA ein angemessenes Schutzniveau gewährleisten. Voraussetzung ist aber, wie schon beim Vorgänger Privacy Shield, dass sich der US-Datenempfänger vorab nach dem EU-US Data Privacy Framework zertifiziert haben. Damit bildet das Abkommen keinen Automatismus für einen zulässigen Datentransfer. Es muss vielmehr vorab geprüft werden, ob alle Empfänger nach dem EU-US Data Privacy Framework zertifiziert sind. Erst dann können personenbezogene Daten an diese Unternehmen ohne Einhaltung weiterer datenschutzrechtlicher Garantien übermittelt werden.
Im Gegensatz zu dem Angemessenheitsbeschluss für das Vereinigte Königreich ist das EU-US Data Privacy Framework nicht zeitlich begrenzt. Das Abkommen sieht jedoch vor, dass es regelmäßig einem Review unterzogen wird. Das erste Review wird ein Jahr nach Inkrafttreten und damit zum 10. Juli 2024 stattfinden.
Erleichterung für Unternehmen bei Datenübermittlungen in die USA?
Ob das neue Abkommen wirklich eine Erleichterung für Unternehmen darstellt, wird erst die Zukunft zeigen. Zunächst wird das EU-US Data Privacy Framework auf jeden Fall eine Erleichterung für Unternehmen mit sich bringen. Die Frage ist nur: Für wie lange?
Die Datenschutzorganisation NOYB, die von Max Schrems mitgegründet wurde, kündigt auf ihrer Webseite bereits an, dass man bereits „verschiedene Verfahrensoptionen vorbereitet [habe], um das neue Abkommen erneut vor den EuGH zu bringen“. Es ist also zu erwarten, dass sich der Europäische Gerichtshof nach Safe Harbour und Privacy Shield nun zum dritten Mal mit der Frage auseinandersetzen wird, ob ein Angemessenheitsbeschluss zur Übermittlung von personenbezogenen Daten in die USA gültig ist.
Konkreter Handlungsbedarf für Unternehmen?
Durch das neue EU-US Data Privacy Framework entsteht zunächst kein direkter Handlungsbedarf für Unternehmen, die personenbezogene Daten in die USA übermitteln. Wurden bisher mit den Empfängern sogenannten Standardvertragsklauseln („Standard Contractual Clauses“, kurz „SCC“) geschlossen, bleiben diese natürlich weiter gültig und können, je nach Ergebnis des Transfer Risk Assessments, für eine zulässige Übermittlung sorgen.
Sollte ein US-Unternehmen sich künftig unter dem neuen Abkommen zertifizieren, ist ein Abschluss von SCC nicht mehr erforderlich. Zur Erfüllung der Vorgaben aus Kapitel V der DSGVO genügt dann die Dokumentation, dass der Empfänger unter dem EU-US Data Privacy Framework zertifiziert ist.
Fazit
Solange das EU-US Data Privacy Framework Agreement in Kraft bleibt, bietet es den Unternehmen Rechtssicherheit im Hinblick auf die Übermittlung von personenbezogenen Daten an Unternehmen mit Sitz in den USA.