Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework („DPF“) erlassen. Damit stellt die Kommission nach Art. 45 Abs. 1 DSGVO fest, dass die USA (genauer: jene Unternehmen, die sich dem Selbstzertifizierungsmechanismus des DPF unterwerfen und in der noch zu veröffentlichenden Liste genannt werden) ein angemessenes Schutzniveau bieten. Wichtig und wertvoll für den Unternehmensalltag ist, dass Datenübermittlungen auf Basis eines Angemessenheitsbeschlusses ohne weitere Maßnahmen zulässig sind und keiner anderen Rechtsgrundlage aus Kapitel V DSGVO bedürfen. Der Vorteil gegenüber Standarddatenschutzklauseln („SCC“) besteht insbesondere darin, dass nicht zusätzlich spezielle Verträge abgeschlossen werden müssen, kein TIA durchgeführt werden muss und keine zusätzlichen Schutzmaßnahmen ergriffen werden müssen. In der Vergangenheit hatte US-Präsident Biden schon eine Executive Order (Link) unterzeichnet. Auf Basis des Angemessenheitsbeschlusses und der Executive Order soll die vom EuGH im Schrems-II-Urteil vom Juli 2020 geäußerte Kritik am Privacy Shield ausgeräumt werden.

 

In diesem Beitrag wird erläutert, was Unternehmen jetzt in der Praxis tun müssen. Es besteht Handlungsbedarf in Bezug auf bestehende Dokumente. Zudem wird auch auf allgemeinere Aspekte zum DPF eingegangen, die bei der Umsetzung der Vorgaben aus Kapitel V DSGVO beachtet werden sollten. Darüber hinaus werden Themen in Bezug auf die Verwendung von SCC angesprochen.

 

Ab wann gilt der Angemessenheitsbeschluss?

Der Angemessenheitsbeschluss trat mit seiner Annahme am 10. Juli 2023 in Kraft. Eine Übermittlung auf Grundlage des DPF kann jedoch erst erfolgen, wenn alle Voraussetzungen auf der Seite des datenempfangenden Unternehmens erfüllt sind. Der Empfänger der Daten in den USA muss insbesondere in die Liste zertifizierter Unternehmen des US-Handelsministerium aufgenommen werden (hierzu sogleich ausführlich). Laut den hier bereitgestellten Informationen müssen sich alle aktuell nach dem Privacy Shield zertifizierten Unternehmen ab sofort an die Bestimmungen aus dem DPF halten. Alle unter dem Privacy Shield zertifizierten Unternehmen, die vorher kein Rückzugsantrag stellen, werden automatisch ab dem 17. Juli auf der unter folgender URL in der dann veröffentlichten Liste genannt: https://www.dataprivacyframework.gov/s/. Bis zum 17. Juli ist nicht mehr viel Zeit. Es wird also für Datenübermittlungen an eine große Anzahl an US-Unternehmen zeitnah wieder eine stabile Rechtsgrundlage aus Kapitel V DSGVO geben. Hierzu zählen u.a. Google und Microsoft. Außerdem ist es möglich, dass ein vorher nicht nach dem Privacy Shield zertifiziertes Unternehmen erstmals einen neuen Antrag auf Zertifizierung unter dem DPF stellt.

 

Rechtliche Wirkung des Angemessenheitsbeschlusses

Der durch die Kommission erlassene Angemessenheitsbeschluss ist an die Mitgliedstaaten der EU gerichtet (Art. 4 des Beschlusses), unmittelbar anwendbar und rechtsverbindlich (siehe dazu auch EuGH Urteil zur Rs. Schrems II Rz. 117). Solche Beschlüsse zählen genauso wie Verordnungen und Richtlinien zum Sekundärrecht der EU (Art. 288 Abs. 4 AEUV). Der DPF-Beschluss dient als Erlaubnis für die Übermittlung personenbezogener Daten in die USA nach Art. 45 Abs. 3 DSGVO. Unternehmen können mit Inkrafttreten des DPF zunächst auf dessen Wirksamkeit vollkommen vertrauen. Weder nationale Gerichte noch Datenschutzaufsichtsbehörden sind dazu befugt, die Ungültigkeit eines Angemessenheitsbeschlusses von sich aus festzustellen. Diese Kompetenz liegt allein beim EuGH (vgl. EuGH Urteil zur Rs. Schrems II Rz. 118 und Rs. Schrems I Rz. 52). Somit ist es auf Grundlage des DPF aus rechtlicher Sicht für Unternehmen wieder deutlich einfacher, personenbezogene Daten in die USA zu übermitteln. Sobald ein US-Unternehmen unter dem DPF zertifiziert ist und als solches in der dazugehörigen Liste erwähnt wird, können an diese Unternehmen Datenübermittlungen rechtskonform erfolgen.

 

Wer in der EU kann sich auf die Wirkung des DPF berufen?

Das DPF kann als Grundlage für eine Datenübermittlung in die USA durch Unternehmen in der EU und dem EWR dienen. In der EU können Verantwortliche und Auftragsverarbeiter Datenexporteure sein und sich auf die Wirkung des DPF berufen. Das DPF findet zudem auf Seite der Datenimporteure Anwendung auf US-Unternehmen, die ebenfalls entweder Verantwortliche oder Auftragsverarbeiter sind (2.1.2 DPF).

 

Was muss man als Datenexporteur tun, bevor man auf Grundlage des DPF personenbezogene Daten in die USA übermitteln möchte?

Die folgenden Themenpunkte sollten von europäischen Unternehmen bei Datenübermittlugen auf Grundlage des DPF beachtet werden:

• Ist das Unternehmen nach dem DPF zertifiziert? Dies ist per Einsicht in die entsprechende Liste beim US-Handelsministeriums zu prüfen.
  • Die Liste soll unter folgender URL ab dem 17. Juli abrufbar sein: https://www.dataprivacyframework.gov/s/.
  • Die zertifizierten US-Unternehmen müssen so bald wie möglich, spätestens jedoch drei Monate nach Inkrafttreten des DPF, ihre Datenschutzhinweise anpassen und entsprechend auf das DPF verweisen (Annex I III.6.e DPF).
• Umfasst die Zertifizierung des US-Unternehmens die Kategorie der zu verarbeitenden Daten? Es ist auch möglich, dass die Zertifizierung nur für einzelne Bereiche (etwa nicht für HR-Daten) gilt.
• Existiert eine Rechtsgrundlage für die Datenübermittlung nach Art. 6 Abs. 1 DSGVO und ggf. Art. 9 Abs. 2 DSGVO? Werden die Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DSGVO eingehalten und ist dies nachweisbar?
• Wurden Anpassungen an den eigenen Datenschutzhinweisen vorgenommen, sodass Betroffene zusätzlich zu den Kategorien von Empfängern (Art. 13 Abs. 1 lit. e) DSGVO oder Art. 14 Abs. 1 lit. e) DSGVO) in den USA auch über das Vorhandensein des Angemessenheitsbeschlusses (Art. 13 Abs. 1 lit. f) DSGVO oder Art. 14 Abs. 1 lit. f) DSGVO) informiert werden?
• Regelmäßige Überprüfung (ggf. alle 6 Monate): Wurde das US-Unternehmen zwischenzeitlich von der Liste des US-Handelsministeriums entfernt? Denn das US-Handelsministerium wird diejenigen Organisationen von der Liste streichen, die sich freiwillig aus dem DPF zurückziehen oder ihre jährlich erforderliche Neuzertifizierung gegenüber dem Ministerium nicht erbringen.

 

Welche eigenen Dokumente muss man anpassen, wenn man in Zukunft auf Basis des DPF Daten übermitteln möchte?

Neben der Beachtung der in der obigen Checkliste benannten Themenpunkte sind insbesondere Anpassungen hinsichtlich der Pflichten aus der DSGVO notwendig, in denen auf Transfers in Drittländer eingegangen wird. Erforderlich sind damit insbesondere die folgenden Schritte:

• Anpassung der Datenschutzhinweise dahingehend, dass Betroffenen zum Zeitpunkt der Erhebung von Daten das Vorhandensein eines Angemessenheitsbeschlusses der Kommission mitgeteilt wird (Art. 13 Abs. 1 lit. f) DSGVO).
• Anpassung der Datenschutzhinweise, sodass Betroffene zusätzlich zu den Kategorien der Empfänger (Art. 13 Abs. 1 lit. e) DSGVO oder Art. 14 Abs. 1 lit. e) DSGVO) in den USA auch über das Vorhandensein des Angemessenheitsbeschlusses (Art. 13 Abs. 1 lit. f) DSGVO oder Art. 14 Abs. 1 lit. f) DSGVO) informiert werden. Der Angemessenheitsbeschluss der Kommission ist hierbei konkret zu benennen.
• Anpassung des Prozesses zur Erteilung von Auskunftsansprüchen, sodass Betroffene über den Angemessenheitsbeschluss im Zusammenhang mit der Übermittlung unterrichtet werden, Art. 15 Abs. 2 DSGVO.
• Anpassung des Verzeichnisses von Verarbeitungstätigkeiten hinsichtlich Angaben zur Übermittlung von personenbezogenen Daten an ein Drittland, Art. 30 Abs. 1 lit. e) DSGVO.

 

Weitere Punkte, die EU-Unternehmen beachten sollten – abgeschlossenen SCC, TIA und DSFA

Außerdem sollten allgemein die folgenden Überlegungen angestellt werden:

• Was passiert mit den schon abgeschlossenen SCC? Passen die Regelungen im Auftragsverarbeitungsvertrag („AVV“) schon dafür, dass künftig das DPF als Transfermechanismus gilt oder muss man ergänzende Regelungen treffen?
• Falls nur SCC abgeschlossen wurden und es keinen dazugehörigen AVV gibt: Neue Regelungen für den eigentlichen Teil der Auftragsverarbeitung fernab von Datenübermittlungen vereinbaren oder manche Regelungen aus den SCC rein vertraglich als gültig erklären?
• Sind die vereinbarten zusätzlichen Schutzmaßnahmen noch gültig und sind diese überhaupt noch notwendig? Kann man komplizierte Verschlüsselungslösungen auch wieder abschalten?
• In Bezug auf durchgeführte TIA: Ergänzung der aktuellen Rechtslage und Erklärung der Ungültigkeit vorheriger Risikobewertungen notwendig?
• Falls (obwohl das eigentlich nicht erforderlich ist, wie u.a. hier auf Seite 7 erkennbar) in Datenschutz-Folgenabschätzungen auf Datenübermittlungen in die USA eigegangen wurde: Anpassung der Folgenabschätzung notwendig?
• Wenn Auftragsverarbeiter aus der EU die SCC in Modul 3 mit Unterauftragsverarbeitern aus den USA abgeschlossen haben: Kontaktaufnahme mit dem Auftragsverarbeiter notwendig?
• Einwilligungen nach Art. 49 Abs. 1 lit. a DSGVO (insbesondere auf Websites): Einwilligungen in Bezug auf Art. 49 Abs. 1 lit. a DSGVO entfernen, wenn das DPF als Rechtsgrundlage der Datenübermittlung in die USA dient.

 

Mögliche Anfechtbarkeit des DPF beim EuGH

Die zwei vorangegangenen Angemessenheitsbeschlüsse zu den USA (Safe Harbour und Privacy Shield) wurden beide vom EuGH für ungültig erklärt. Es ist bereits abzusehen, dass auch das DPF vom EuGH überprüft wird. Die Organisation noyb hat schon angekündigt, auch das DPF vor den EuGH bringen zu wollen (Link). Auch wenn mit dem DPF einige vom EuGH im Schrems-II-Urteil geäußerten Bedenken aufgegriffen wurden, gibt es weiterhin Kritik. So sollen US-Geheimdienste zwar nur in dem Maße auf Daten zugreifen können, wie dies zum Schutz der nationalen Sicherheit verhältnismäßig ist. Der Begriff der Verhältnismäßigkeit werde jedoch in den USA und der EU unterschiedlich ausgelegt. Daneben wird kritisiert, dass das DPF keinen wirklichen gerichtlichen Rechtsbehelf für EU-Bürger vorsehe. Zudem ist auch zu beachten, dass Änderungen im US-Recht auf einer präsidialen Executive Order basieren und somit relativ einfach aufgehoben werden können.

 

Was gilt in Bezug auf bereits abgeschlossene EU-Standarddatenschutzklauseln?

Wenn personenbezogene Daten aus der EU in die USA nur zum Zwecke der Auftragsverarbeitung übermittelt werden, ist ein AVV erforderlich, unabhängig von der Teilnahme des Auftragsverarbeiters am DPF (Annex I III.10.a.i DPF). Enthält ein existierender AVV bereits SCC, kann es mit Blick auf die Anwendbarkeit des DPF folgende Konstellationen geben:

• Wenn in einem bereits abgeschlossenen AVV mit SCC eine Regelung enthalten ist, nach welcher bei Vorliegen der Voraussetzungen der Angemessenheitsbeschluss (hier: das DPF) automatisch als Grundlage für Datenübermittlungen genutzt werden soll – sozusagen „geswitcht“ wird – gilt das DPF.
• Ist in einem bereits abgeschlossenen AVV zu den SCC keine Regelung zu einem Angemessenheitsbeschluss enthalten, liegen aber die Voraussetzungen des DPF vor (also insbesondere: US-Unternehmen befindet sich auf der Data Privacy Framework List), gelten die SCC. Die SCCs werden in diesem Fall nicht automatisch unwirksam oder ausgesetzt, sondern müssen „gekündigt“ werden (Klausel 16 e) der SCC).

 

Jede Partei kann ihre Zustimmung widerrufen, durch die SCC gebunden zu sein, wenn die Kommission einen Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO erlässt, der sich auf die Übermittlung personenbezogener Daten bezieht, für die diese Klauseln gelten (Klausel 16 e) der SCC). Das spricht dafür, dass vorrangig die vertraglichen Vereinbarungen, also die SCC, Anwendung finden sollen und insoweit gegenüber dem DPF Vorrang genießen. Der Angemessenheitsbeschluss (hier: das DPF) findet aber dann Anwendung, wenn eine der Parteien ihre Zustimmung zu den SCC widerruft (vgl. Klausel 16 e) der SCC) oder die Parteien eine vertragliche Regelung ergänzen, die vorsieht, dass automatisch auf einen Angemessenheitsbeschluss „geswitcht“ wird, sofern ein solcher vorliegt.

 

Die SCC werden also trotz Bestehen des DPF nicht automatisch ausgesetzt. Die Verwendung der Klauseln fällt in die Vertragsfreiheit des Verantwortlichen oder des Auftragsverarbeiters und des Empfängers. Die Parteien können sich also entscheiden, welches Transfertool sie nutzen wollen. Die Kommission geht wohl auch davon aus, dass SCC trotz bestehendem DPF noch verwendet werden dürfen: „Alle von der US-Regierung im Bereich der nationalen Sicherheit eingeführten Garantien (einschließlich des Rechtsbehelfsverfahrens) gelten unabhängig von den verwendeten Übermittlungsmechanismen für alle Datenübermittlungen im Rahmen der DSGVO an Unternehmen in den USA. Diese Garantien erleichtern daher auch den Einsatz anderer Instrumente wie Standardvertragsklauseln und verbindlicher unternehmensinterner Vorschriften“ (Pressemitteilung). Dies impliziert, dass es andere Mechanismen nach wie vor geben muss und diese parallel zum DPF bestehen – andere Instrumente aber jedenfalls nicht hinfällig werden.

 

Wenn weiterhin die SCC als Transfermechanismus eingesetzt werden sollen, dann muss auch weiterhin ein TIA durchgeführt werden. Im Rahmen dessen kann man beachten, dass die auf Basis der Executive Order eingeführten Änderungen im US-Recht laut Aussagen der Europäischen Kommission für alle Transfermechanismen gelten. Diese Änderung der Rechtslage kann dann positiv in die Bewertung im TIA einfließen. Ob zusätzlich im Einzelfall noch Schutzmaßnahmen für Datenübermittlungen (wie etwa Verschlüsselung) nötig sind, kann zumindest wegen des Angemessenheitsbeschlusses bezweifelt werden. Würde man annehmen, dass in Wahrheit faktisch auch unter Beachtung der Executive Order kein angemessenes Schutzniveau in den USA vorhanden ist, dann wären zusätzliche Maßnahmen weiterhin notwendig.

 

Ausblick auf die anstehende Arbeit für EU-Unternehmen

EU-Unternehmen müssen schon wieder in Sachen Datenübermittlungen tätig werden. Es wird sich erst noch zeigen, wie lange es dauert, bis der EuGH zum DPF entscheiden wird. Es ist aber damit zu rechnen, dass schon wegen der durchschnittlichen Verfahrensdauer für eine Weile das DPF für EU-Unternehmen ein rechtssicherer Transfermechanismus ist. Ab dem 17. Juli wird es in jedem Fall erst einmal einfacher. Trotzdem besteht der in diesem Beitrag aufgezeigte, wenn auch verringerte, Handlungsbedarf.