Seit der Schrems II-Entscheidung des EuGH am 16. Juli 2020 befanden sich viele wirtschaftliche Akteure in einer Phase der Rechtsunsicherheit hinsichtlich Drittlandsübermittlungen in die USA. Während dieser Zeit haben wir unsere Mandanten aktiv begleitet und dabei geholfen, den Transfer von personenbezogenen Daten in die USA rechtskonform zu gestalten, trotz der bestehenden rechtlichen Herausforderungen.
In Abwesenheit eines Angemessenheitsbeschlusses war eine Datenübermittlung ausschließlich möglich, wenn die von der Kommission vorgeschriebenen Drittlands-SCCs verwendet wurden, ein zusätzliches (positives) Transfer-Impact-Assessment (TIA) vorgenommen wurde und weitere zusätzliche Schutzmaßnahmen nachgewiesen werden konnten.
Diese umfangreiche und teils aufwendige Prüfung, verbunden mit erheblichen Rechtsunsicherheiten, hat mit dem 10. Juli 2023 (zumindest vorerst) ihr Ende gefunden. Die Kommission hat einen neuen Angemessenheitsbeschluss für Datenübermittlungen in die USA, das "EU-US Data Privacy Framework", verkündet.
Dieses neue Abkommen bescheinigt ein angemessenes Datenschutzniveau in den USA, wodurch die bisher notwendige Einzelfallrisikoprüfung (TIA) entfällt. Ausschlaggebend für diese Annahme der Kommission waren diverse rechtliche Anpassungen im US-Überwachungsrecht, die nach dem Schrems II-Urteil vorgenommen wurden.
Kernänderungen des US-Überwachungsrechts
Einführung der Executive Order 14086 – Betonung des Verhältnismäßigkeitsprinzips
In der Schrems II-Entscheidung standen insbesondere die weitreichenden Zugriffsbefugnisse der US-amerikanischen Geheimdienste auf personenbezogene Daten von Nicht-US-Bürgern nach Sec. 702 FISA im Mittelpunkt der Kritik. Diese Regelung ermöglichte eine Massenüberwachung ausländischer Bürger, was vom EuGH als unverhältnismäßig bewertet wurde. Um das Prinzip der Verhältnismäßigkeit gemäß Art. 52 GRCh zu gewährleisten, werden die Zugangsrechte der US-Geheimdienste fortan durch die „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ („EO-14086“) vom 7. Oktober 2022 stärker eingegrenzt und auf ein notwendiges Maß beschränkt.
Neugestaltung des Rechtsschutzmechanismus
Ein weiterer Hauptkritikpunkt am ehemaligen „Privacy Shield“ war der Ombuds-Mechanismus. Der EuGH urteilte, dass dieser nicht genug Rechtsschutz bot. Insbesondere wurden die fehlende Unabhängigkeit und die Unfähigkeit zur Erlassung bindender Regelungen gegenüber Nachrichtendiensten bemängelt. Als Reaktion darauf wurde ein spezielles Datenschutzgericht, der „Data Protection Review Court“, ins Leben gerufen. Dieses Gericht soll EU-Bürgern die Möglichkeit geben, gegen potenzielle Datenschutzverstöße vorzugehen. Da es jedoch dem US-Justizministerium untersteht, gibt es Bedenken hinsichtlich seiner tatsächlichen Unabhängigkeit und ob es den Anforderungen gemäß Art. 47 GRCh gerecht wird.
Kritik an den Neuerungen: Erneute Verwerfung durch EuGH zu befürchten?
Bereits während der Entwicklungsphase des geänderten US-Überwachungsrechts wurden aus verschiedenen Ecken kritische Stimmen laut. Mit der Verabschiedung des neuen Angemessenheitsbeschlusses trat insbesondere Datenschützer Max Schrems hervor und äußerte seine Bedenken. Sein Kommentar bringt es auf den Punkt:
Ein Hauptkritikpunkt vieler Experten und Datenschützer liegt in der Tatsache, dass Sec. 702 FISA, welcher Massenüberwachung ermöglicht, in seiner Kernstruktur unverändert blieb. Die Datenschutzorganisation NOYB geht beispielsweise davon aus, dass die Probleme im Zusammenhang mit Sec. 702 FISA auch nach Implementierung der EO-14086 weiterhin bestehen bleiben. Ein entscheidender Faktor hierbei ist die unterschiedliche Interpretation und Anwendung des Prinzips der „Verhältnismäßigkeit“ in den USA im Vergleich zur EU.
Vor diesem Hintergrund scheint es wahrscheinlich, dass der EuGH die Regelungen in naher Zukunft erneut prüfen wird.
Aufrechterhaltung des Selbstzertifizierungsprinzips
Infolge der überarbeiteten rechtlichen Rahmenbedingungen wird der Transfer personenbezogener Daten in die USA nun als sicher erachtet, sofern er an ein entsprechend zertifiziertes Unternehmen gerichtet ist.
Dies bedeutet eine Aufrechterhaltung des Prinzips der Selbstzertifizierung. Unternehmen, die am Framework teilnehmen möchten, müssen sich dazu verpflichten, einer festgelegten Reihe von datenschutzrechtlichen Grundsätzen und Standards nachzukommen. Diese Kriterien wurden vom US-Handelsministerium definiert.
Zu den Verpflichtungen gehört unter anderem, dass sich die Unternehmen den Untersuchungs- und Durchsetzungsbefugnissen sowohl der Federal Trade Commission (FTC) als auch des US Department of Transportation (DoT) unterstellen. Ferner ist es erforderlich, eine Datenschutzrichtlinie (Privacy Policy) zu implementieren, die mit den im Anhang 1 des Angemessenheitsbeschlusses festgelegten Prinzipien konform geht. Das Department of Commerce überwacht regelmäßig die Einhaltung dieser Bestimmungen (Compliance Monitoring). Bei wiederholten Verstößen drohen nicht nur zivilrechtliche Sanktionen, sondern auch der Ausschluss aus dem Privacy Framework.
Gilt die Zertifizierung des Privacy Shields auch für das neue Datenschutz-Privacy-Framework?
Unternehmen, die bereits unter dem Privacy Shield zertifiziert waren, müssen nicht erneut eine Selbstzertifizierung durchführen, um am DPF teilzunehmen.
Laut einer Mitteilung der International Trade Administration (ITA) wird die Teilnahme dieser Unternehmen am DPF automatisch fortgesetzt. Allerdings müssen sie ihre Datenschutzrichtlinien bis zum 10. Oktober 2023 aktualisieren und den novellierten Prinzipien des DPF entsprechen.
Diese Unternehmen müssen ihre Zertifizierung jährlich gemäß den DPF-Bestimmungen erneuern, und zwar zu ihrem aktuellen Rezertifizierungsstichtag. Unternehmen, die zwar unter dem Privacy Shield zertifiziert waren, aber nicht am DPF teilnehmen möchten, müssen sich formell gemäß dem ITA-Rückzugsverfahren abmelden.
Es ist wichtig zu beachten, dass ein Versäumnis des jährlichen Rezertifizierungsprozesses die Teilnahme oder Verpflichtungen des Unternehmens nicht beendet. Auch nach Abschluss des formellen Rückzugsverfahrens muss das Unternehmen die anwendbaren Prinzipien des Privacy Shield/DPF hinsichtlich der im Rahmen dieser Programme erhaltenen personenbezogenen Daten weiterhin einhalten.
Unternehmen, die nicht bereits unter dem Privacy Shield zertifiziert sind, können seit dem 17. Juli 2023 mit dem Selbstzertifizierungsprozess für das DPF beginnen, wie auf der offiziellen DPF-Website (http://www.dataprivacyframework.gov/) angegeben. Dabei ist zu beachten, dass Unternehmen den DPF-Anforderungen entsprechen müssen, bevor sie ihre Selbstzertifizierung einreichen.
Wie ist mit dem neuen Angemessenheitsbeschluss umzugehen?
Trotz der vorherrschenden Kritik lässt das neu verabschiedete Privacy Framework viele Unternehmen erstmal aufatmen. Denn wenn Daten an ein zertifiziertes Unternehmen übermittelt werden, kann dies nun OHNE den Einsatz von speziellen Drittlands-SCCs, ohne TIA und ohne zusätzliche Maßnahmen geschehen. Das bedeutet, dass umfangreiche Prüfungen vorerst nicht mehr notwendig sind.
Angesichts der tiefgreifenden Kritik empfehlen wir jedoch, bestehende SCCs beizubehalten und nicht aufzulösen. Eine erneute rechtliche Überprüfung des Angemessenheitsbeschlusses durch den EuGH scheint nur eine Frage der Zeit zu sein, und deren Ausgang bleibt ungewiss. Es ist wichtig zu beachten, dass SCCs und TIAs weiterhin für Datentransfers an US-Unternehmen, die nicht zertifiziert sind, sowie für Übermittlungen in andere Drittländer erforderlich bleiben.
Praktische Anwendungsbeispiele für Unternehmen
Szenario 1: Datentransfer zwischen zwei EU-Unternehmen
Frage:
Sind in diesem Kontext SCCs und ein TIA erforderlich?
Antwort:
Nein - bei Datenübermittlungen innerhalb der EU sind die Artikel 44 ff. DSGVO nicht anwendbar. Daher entfällt die Notwendigkeit von SCCs oder einem TIA. Es genügt ein klassischer Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DSGVO - selbst wenn die Datenübermittlung an eine europäische Tochtergesellschaft eines US-Konzerns erfolgt.
Begründung:
Die DSGVO ist in allen EU-Mitgliedstaaten gültig, wodurch überall in der EU ein einheitlich hohes Datenschutzniveau gewährleistet ist. In der EU ansässige Unternehmen sind somit verpflichtet, die DSGVO einzuhalten. Daher sind SCCs und ein TIA in diesem Kontext nicht notwendig.
Szenario 2: Datentransfer von einem EU-Unternehmen an ein zertifiziertes US-Unternehmen
Frage:
Sind SCCs und ein TIA in diesem Kontext erforderlich?
Antwort:
Während die Anwendung von SCCs nicht obligatorisch ist, empfehlen wir dennoch die Verwendung von SCCs. Ein TIA hingegen ist nicht erforderlich.
Begründung:
Laut dem Angemessenheitsbeschluss der EU-Kommission gilt für zertifizierte Unternehmen in den USA nun ein angemessenes Datenschutzniveau, wodurch ein TIA entbehrlich wird. Da jedoch die Gültigkeit dieses Beschlusses in naher Zukunft vom EuGH überprüft werden wird, besteht eine gewisse Rechtsunsicherheit. Daher raten wir, zur Absicherung weiterhin SCCs im Auftragsverarbeitungsvertrag zu integrieren.
Szenario 3: Datentransfer von einem EU-Unternehmen an ein nicht zertifiziertes US-Unternehmen
Frage:
Sind in diesem Kontext SCCs und ein TIA erforderlich?
Antwort:
Ja, sowohl SCCs als auch ein TIA sind in diesem Fall zwingend erforderlich.
Begründung:
Der Angemessenheitsbeschluss erleichtert lediglich Datentransfers zu zertifizierten Unternehmen in den USA. Bei nicht zertifizierten Unternehmen bleibt die bisherige Handhabung für Datentransfers unverändert bestehen.
Szenario 4: Bestehender Auftragsverarbeitungsvertrag mit einem US-Unternehmen
Ein Auftragsverarbeitungsvertrag inklusive SCCs wurde bereits unterzeichnet, und ein TIA wurde bereits durchgeführt.
Frage:
Müssen zusätzliche Schritte unternommen werden, um die Rechtmäßigkeit des Datentransfers sicherzustellen?
Antwort:
Nein, der Datentransfer auf der Grundlage des bestehenden Vertrages ist weiterhin rechtskonform. Es sind keine weiteren Schritte erforderlich.
Begründung:
Der Datentransfer stützt sich weiterhin auf die Rechtsgrundlage des Art. 28 DSGVO. Durch die Einbindung von SCCs und die Durchführung eines TIA sind die Vorgaben der Art. 44 ff. DSGVO eingehalten. In Anbetracht potenzieller Unsicherheiten bezüglich des zukünftigen Bestehens des Angemessenheitsbeschlusses wäre es ratsam, keine vorschnellen Entscheidungen hinsichtlich der Verwerfung dieser Maßnahmen zu treffen.