Im Juli 2023 hat die Europäische Kommission einen neuen Angemessenheitsbeschluss für die Übermittlung von personenbezogenen Daten in die USA auf der Grundlage des „EU‐US Data Privacy Framework“ („EU‐US DPF“) erlassen. Danach ist der Einsatz von US-Dienstleistern und andere transatlantische Datenübermittlungen ohne zusätzliche Datenschutzgarantien möglich.
In den letzten Wochen haben sich zahlreiche Unternehmen und Behörden an die Datenschutzaufsichtsbehörden mit der Frage gewandt, wie dieser neue „Datenschutzrahmen“ in der Praxis auszulegen und anzuwenden sei. Hierzu hat sich nun die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“) geäußert.
Hintergrund
Grundsätzlich ist die Übermittlung von personenbezogenen Daten in Länder außerhalb der EU (sog. „Drittländer“) nur auf Grundlage geeigneter Datenschutzgarantien zulässig. Taugliche Garantien in diesem Sinn sind u.a. die sog. Angemessenheitsbeschlüsse. Dabei handelt es sich – einfach gewendet – um Bestätigungen der EU Kommission, dass in einem betreffenden Land ein „angemessenes Datenschutzniveau“ besteht. Das Vorliegen eines entsprechenden Beschlusses hat zur Folge, dass der Datentransfer aus der EU in dieses Land erfolgen kann, ohne dass weitere Schutzmaßnahmen ergriffen oder die Zustimmungen der jeweils zuständigen Aufsichtsbehörden eingeholt werden müssen.
Nachdem sich der transatlantische Datentransfer über mehrere Jahre in unruhigem Fahrwasser bewegte, verabschiedete die EU Kommission am 10. Juli 2023 einen neuen Angemessenheitsbeschluss zum Datentransfer in die USA auf der Grundlage des EU-US DPF (vgl. dazu unser Legal Update vom 11. Juli 2023).
Vor dem Hintergrund des jahrelangen Ringens um Rechtssicherheit hat sich nun die DSK geäußert und Anwendungshinweise erlassen. Diese Hinweise richten sich sowohl an Verantwortliche und Auftragsverarbeiter in Deutschland, die personenbezogene Daten in die USA übermitteln, als auch an betroffene Personen.
Anwendungshinweise der DSK
Die DSK weist zunächst darauf hin, dass der Angemessenheitsbeschluss zum EU‐US DPF sektoral ist und nicht jede Datenübermittlung in die USA erlaubt. Vielmehr seien US-Unternehmen verpflichtet, eine Selbstzertifizierung durchzuführen und sich um eine Eintragung in die „Data Privacy Framework List“ („DPF-Liste“) zu bemühen. Denn nur wenn ein US-Unternehmen darin aufgenommen sei, könne der Datentransfer auf das EU‐US DPF gestützt werden. Datenexporte aus der EU müssen sicherstellen, dass der Datenempfänger in den USA auf der DPF-Liste aufgeführt ist.
Die DSK geht ausführlich auf die wesentlichen inhaltlichen Vorgaben des EU-US PDF ein und erläutert ihre Umsetzung in der Praxis. In diesem Zusammenhang stellt die DSK klar, dass Datenimporteure in den USA neben dem EU-US DPF auch die sich aus der direkten Anwendbarkeit der DSGVO ergebenden Rechte und Pflichten beachten müssen. Unternehmen, die Daten in die USA übermitteln wollen, seien darüber hinaus an die DSGVO gebunden.
Darüber hinaus äußert sich die DSK zu der Frage der Überwachung der zertifizierten Stellen. Hier stellt sie zunächst fest, dass derzeit lediglich solche Stellen zertifiziert werden können, die entweder der Aufsicht der FTC (US‐Bundesbehörde für Wettbewerbskontrolle und Verbraucherschutz) oder des DOT (US‐Verkehrsministerium) unterliegen. Dann erläutert sie detailliert die möglichen Sanktionierungs- und Durchsetzungsverfahren ebendieser Behörden, sowie das neugeschaffene standardisierte Verweisungsverfahren durch EU‐Mitgliedstaaten.
Schließlich geht die DSK noch auf die Rechtsschutz- und Beschwerdemöglichkeiten betroffener Personen ein.
Fazit
Bei dem Angemessenheitsbeschluss handelt es sich um geltendes EU-Recht. Er wird ein Jahr nach seinem Inkrafttreten und danach spätestens alle vier Jahre von der EU Kommission auf seine Wirksamkeit hin überprüft. Falls im Rahmen dieser Überprüfung festgestellt werden sollte, dass kein angemessenes Schutzniveau mehr für Datentransfers in die USA besteht, wird er ggfs. angepasst oder aufgehoben. Andernfalls gilt er fort. Vor diesem Hintergrund liefern die Anwendungshinweise der DSK wertvolle Hinweise dazu, wie Unternehmen aus der EU Daten in die USA transferieren können.
Darüber hinaus klingt es in den Erläuterungen der DSK an: Die Rechtmäßigkeit der Übermittlung personenbezogener Daten in die USA bemisst sich nicht allein danach, ob die Anforderungen des EU-US PDF eingehalten werden. Stets zu berücksichtigen sind vielmehr auch die allgemein unter der DSGVO geltenden Grundsätze gemäß der Art. 5 ff. DSGVO. Dazu gehört insbesondere das Erfordernis einer Rechtsgrundlage, der Zweckbindungsgrundsatz sowie das Prinzip der Datensparsamkeit. Darüber hinaus sind Unternehmen wie bisher auch gehalten, potentielle Drittlandübermittlungen auf Grundlage eines Datenschutz-Sicherheitskonzepts zu erfassen („know your transfer“) und zu dokumentieren. Im Übrigen müssen Unternehmen ihre Datenschutzhinweise aktualisieren, sofern sie Datentransfers in die USA auf das EU-US DPF stützen wollen. Denn der Hinweis auf einen Angemessenheitsbeschluss bei Drittlandübermittlungen gehört zu den Pflichtangaben in einer Datenschutzerklärung. Insofern besteht also ein konkreter Handlungsbedarf.