Die Digitalisierung und die damit einhergehenden Datenübermittlungen sind aus dem Alltag nicht mehr hinwegzudenken. Da viele Datenübermittlungen personenbezogene Daten umfassen, ist das Datenschutzrecht, und in der EU damit die Datenschutz-Grundverordnung (DSGVO) zu beachten.
Datenübermittlungen in Drittländer, also solche Länder, die außerhalb der Europäischen Union und des europäischen Wirtschaftsraums (EWR) liegen, unterliegen jedoch bestimmten Vorgaben gemäß Art. 44 ff. DSGVO, die es zu beachten gilt.
Die wohl wichtigste Grundlage findet sich in Art. 45 DSGVO, der sogenannte Angemessenheitsbeschluss. Ein solcher legt fest, dass ein Drittland ein angemessenes Schutzniveau für personenbezogene Daten bietet:
Art. 45 DSGVO
Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
(1) Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung. […]
Doch was ist hierzu in Bezug auf die USA und den nunmehr geltenden Angemessenheitsbeschluss (Trans-Atlantic Data Privacy Framework - TADPF / DPF) zu wissen und vor allem zu beachten?
Tätigwerden!
- Überprüfung der eingesetzten US-Unternehmen
Zunächst sollten Verantwortliche (= jeder, der über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, Artikel 4 Nr. 7 DSGVO) bei Zusammenarbeit mit US-Unternehmern auf www.dataprivacyframework.gov prüfen, ob sich diese durch das Selbstzertifizierungsverfahren legitimiert haben. Ist dies nicht der Fall, muss etwa auf Standardvertragsklauseln zurückgegriffen werden.
- Datenschutzhinweise
Artikel 13 DSGVO enthält jegliche Pflichtangaben einer Datenschutzerklärung. Hier ist auch das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission genannt (Art. 13 Abs. 1 f) DSGVO). Das In-Kraft-Treten des TADPF hat demnach zur Folge, dass bei der Angabe der Empfänger von Datenübermittlungen ein Hinweis darauf erfolgen muss, ob diese Empfänger dem TADPF unterfallen. Die Datenschutzerklärung sollte folglich um diesen Hinweis ergänzt werden.
- Verarbeitungstätigkeiten
Gemäß Artikel 30 DSGVO muss jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. Artikel 30 Abs. 1 e) DSGVO bestimmt, dass das Verzeichnis auch die Angabe enthalten muss, ob personenbezogene Daten an ein Drittland übermittelt werden und die Dokumentation geeigneter Garantien in diesem Fall. Eine solche Garantie stellt das TADPF dar.
Und bevor Sie tätig werden, geben wir Ihnen nachfolgend einen kurzen Überblick über die Hintergründe:
Das Trans-Atlantic Data Privacy Framework (TADPF / DPF)
Das TADPF ist ein Abkommen zwischen der EU und den USA. Zentraler Punkt ist der Angemessenheitsbeschluss der EU-Kommission, welcher Unternehmen, die durch das TADPF zertifiziert worden sind, ein hinreichendes Datenschutzniveau zuspricht. Grundsätzlich gelten dadurch die USA datenschutzrechtlich als sicherer Drittstaat.
Im Gegensatz zu den vorherigen Abkommen gelten für die USA dieses Mal (vermeintlich) strengere Voraussetzungen. Sichergestellt wird dies mittels der „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities”, die US-Präsident Biden am 07.10.2022 erlassen hat.
Diese Durchführungsverordnung bringt unter anderem mit sich, dass US-Geheimdienste bei Zugriff auf Daten von EU-Bürgern eine Verhältnismäßigkeitsprüfung vornehmen müssen, sowie dass ein Beschwerde- und Überprüfungserfahren eingeführt werden. In den USA ansässige Organisationen, die ihre Verpflichtung zur Einhaltung der Grundsätze des EU-US-Datenschutzschilds selbst zertifiziert haben, müssen die EU-US-DSGVO-Grundsätze einhalten, indem sie unter anderem ihre Datenschutzrichtlinien bis zum 10. Oktober 2023 aktualisieren.
Obwohl der Einsatz von zertifizierten US-Dienstleistern derzeit rechtssicher ist, ist es nicht unwahrscheinlich, dass das TADPF aufgrund unzureichender Datenschutzmechanismen vom EuGH in Zukunft wieder für ungültig erklärt wird.
Unternehmen
Um sich auf den Angemessenheitsbeschluss berufen zu können, müssen US-Unternehmen ein Selbstzertifizierungsverfahren durchlaufen. Sie erhalten die privilegierende Wirkung des TADPF nicht „automatisch“. Bemerkenswert hierbei ist allerdings, dass bereits unter dem unwirksamen Vorgänger-Angemessenheitsbeschluss zertifizierte Unternehmen schnell und einfach dieses Verfahren absolvieren können: https://content.govdelivery.com/accounts/USITATRADE/bulletins/364aa64
Unternehmen, die sich einem solchen unterworfen haben und nach den Kriterien des Abkommens zertifiziert sind, werden in der Folge unter www.dataprivacyframework.gov gelistet. In der Datenbank kann nach Unternehmen gesucht und Einzelheiten in Erfahrung gebracht werden. So können beispielsweise neben dem aktuellen Zertifizierungsstatus auch die Kontaktdaten des Unternehmens in Falle von Fragen oder Beschwerden und die „covered entities“, also die von der Zertifizierung abgedeckten Einrichtungen der Unternehmen eingesehen werden. Außerdem gibt es die Möglichkeit der Beschwerde bei einer unabhängigen Rückgriffsstelle. Die Website des DPF-Program enthält außerdem eine Reihe von Anleitungen und damit verbundenen Ressourcen, einschließlich des Textes der DPF-Grundsätze und der Begleitschreiben des International Trade Administration (ITA) bezüglich der Verwaltung und Überwachung des DPF-Programms.
Darüber hinaus stellt das ITA weiterhin aktuelle Informationen über den Status der britischen Erweiterung der EU-US-DSGVO als Grundlage für die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in die USA sowie über den Status der Swiss-US DPF als Grundlage für die Übermittlung personenbezogener Daten aus der Schweiz in die USA bereit.
Unwirksamkeit des TADPF?
Sollte das TADPF für unwirksam erklärt werden, sind Unternehmen, die Daten aus der EU in die USA übertragen, gezwungen, Alternativen zu suchen um die DSGVO einhalten zu können. So muss möglicherweise (wieder) auf Standardvertragsklauseln zurückgegriffen werden.
Bußgelder?
Solange das TADPF wirksam ist und das US-Unternehmen, welches Empfänger der Daten ist, einen aktiven Zertifizierungsstatus innehat, ist das Datenschutzniveau ausreichend (im Rechtssinne) sichergestellt. EU-Unternehmen müssen dann keine Bußgelder fürchten.
Wird das TADPF vom EuGH für unwirksam erklärt, könnte – je nach herrschender Sach- und Rechtslage – ein sofortiger DSGVO-Verstoß vorliegen und mit Verfahren zu rechnen sein.
Dauerhafte Rechtssicherheit?
Eine dauerhafte Rechtssicherheit folgt aus dem TADPF für EU-Unternehmen in der Folge nicht. Eine solche kann wohl nur gewährleistet werden, wenn eine Zusammenarbeit nur mit solchen Unternehmen stattfindet, die ihre Daten in der EU verarbeiten und ferner keine US-Unternehmen als Subunternehmer einsetzen.
Unsere Rechtsanwälte beraten seit mehr als zehn Jahren im Datenschutzrecht und sind bei Fragen rund um Drittlandübermittlungen ebenfalls sehr gerne behilflich sowie die dauerhafte Umsetzung und Gewährleistung des Datenschutzes.
"USA und Datenschutz: Was ist zu tun?"
von Miriam Gavrilescu, wissenschaftliche Mitarbeiterin