Am 13. Dezember 2022 hat die Europäische Kommission den Entwurf eines Angemessenheitsbeschlusses für die USA mit der Bezeichnung EU-U.S.-Data-Privacy-Framework („DPF“) veröffentlicht und das Verfahren zu dessen Annahme eingeleitet (Pressemitteilung der Kommission). Die Fachgruppen des Europäischen Datenschutzausschusses (EDSA) erarbeiten derzeit den Entwurf einer Stellungnahme. Diese Stellungnahme soll (laut dem Protokoll der Sitzung des EDSA vom 17. Januar 2023) am 28. Februar 2023 durch den EDSA verabschiedet werden.

Sobald der Angemessenheitsbeschluss wirksam ist, kann eine Übermittlung personenbezogener Daten von Stellen in der EU an zertifizierte Organisationen in den Vereinigten Staaten erfolgen, ohne dass für solche Übermittlungen weitere Zulässigkeitsvoraussetzungen aus Kapitel V DSGVO gelten. Datentransfers in die USA müssen dann nicht mehr auf die zurzeit häufig verwendeten Transfermechanismen der Standardvertragsklauseln oder Binding Corporate Rules gestützt werden. Die zwei vorangegangenen Angemessenheitsbeschlüsse zu den USA (Save Harbour und Privacy Shield) wurden beide vom EuGH für ungültig erklärt.

Mit Inkrafttreten des neuen DPF können Unternehmen zunächst auf dessen Wirksamkeit vertrauen. Denn wenn die Kommission einen solchen Angemessenheitsbeschluss erlässt, dann ist dieser unmittelbar anwendbar und rechtsverbindlich. Weder nationale Gerichte noch Datenschutzaufsichtsbehörden sind dazu befugt, die Ungültigkeit eines Angemessenheitsbeschlusses festzustellen. Diese Kompetenz liegt alleine beim EuGH. Entsprechend hat sich der EuGH in seinem Safe-Harbour-Urteil geäußert (Az. C-362/14). Bis der Gerichtshof eine mögliche Entscheidung bezüglich des neuen Angemessenheitsbeschlusses trifft, wird es zwangsläufig wieder einige Zeit dauern. Fernab der politischen Dimension ist es also aus rechtlicher Sicht für Unternehmen wieder deutlich einfacher, Daten in die USA zu übermitteln, wenn der Angemessenheitsbeschluss getroffen werden wird.

Auch Unternehmen aus der EU haben Handlungsbedarf, sobald der Beschluss getroffen wurde. Dies betrifft beispielsweise Anpassungen an Datenschutzhinweisen. Allgemein stellt sich die Frage, welche ToDos in der EU ansässige Unternehmen treffen. Idealerweise machen sich Unternehmen jetzt schon dazu Gedanken, um später rechtzeitig und einfacher alle erforderlichen Handlungsschritte vorzunehmen.

Legt der Entwurf Verpflichtungen für europäische Unternehmen fest?

Der Entwurf selbst legt keine direkten Verpflichtungen für europäische Unternehmen fest, die Daten auf Grundlage des DPF in die USA übermitteln. Unternehmen aus der EU sollten jedoch bei der Auswahl von US-Geschäftspartner einige aus dem Entwurf hervorgehende Besonderheiten beachten (z.B. DPF-Zertifizierung des US-Unternehmens, hierzu sogleich ausführlich). Außerdem sollten europäische Unternehmen immer vor der Übermittlung personenbezogener Daten sicherstellen, dass die durch Übermittlung erfolgende Datenverarbeitung im Einklang mit den außerhalb von Kapitel V in der DSGVO geregelten Anforderungen erfolgt. Dies betrifft unter anderem das Vorhandensein einer Rechtsgrundlage nach Art. 6 DSGVO (und ggf. Art. 9 Abs. 2 DSGVO) sowie die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO (z.B. Zweckbindung, Transparenz, Datenminimierung). Auch müssen Verantwortliche ihren Informationspflichten gegenüber den betroffenen Personen nachkommen. So ist beispielsweise über Empfänger der personenbezogenen Daten in den USA sowie über das Vorhandensein des Angemessenheitsbeschlusses zu informieren (Art. 13 Abs. 1 lit. e) und f) DSGVO oder Art. 14 Abs. 1 lit. e) und f) DSGVO).

Was müssen europäische Unternehmen beachten, wenn Sie Daten an US-Unternehmen auf Grundlage des DPF übermitteln möchten?

US-Unternehmen, welche sich zur Einhaltung einer Reihe von Datenschutzgrundsätzen verpflichtet haben, können sich nach dem DPF zertifizieren lassen. Die Grundsätze umfassen unter anderem Zweckbindung, Transparenz und Datensicherheit. Die Zertifizierung ist freiwillig. Zertifizierte Unternehmen sind jedoch zur Einhaltung der Grundsätze verpflichtet (Annex I I. 2. DPF, ErwGr 45 DPF). Das US-Handelsministerium veröffentlicht – wie auch schon zum Privacy Shield – eine Liste, die Unternehmen aufführt, die sich gegenüber dem Ministerium selbst zertifiziert und zur Einhaltung der Grundsätze verpflichtet haben („the Data Privacy Framework List“; Annex I I. 3. und Annex I III. 6. DPF). Unternehmen aus der EU sollten Einsicht in diese Liste nehmen, bevor sie Daten an ein US-Unternehmen übermitteln, um sicherzustellen, dass das jeweilige Unternehmen auch wirklich zertifiziert ist. Auch sollte geprüft werden, ob die Zertifizierung die Kategorie der in Rede stehenden Daten umfasst (z.B. HR-Daten) (so auch F.A.Q. zum Privacy Shield-Abkommen der Artikel 29 Datenschutzgruppe, Link). Da US-Unternehmen die Zertifizierung jährlich erneuern müssen, sollte die Liste in regelmäßigen Abständen noch einmal geprüft werden. In der Praxis wird es sich anbieten, einmal jährlich zu prüfen, ob alle der Empfänger der Daten in den USA, an die Übermittlungen auf Grundlage des DPF erfolgen, noch zertifiziert sind.

Checkliste der ToDos für europäische Unternehmen

Aus den oben angesprochenen Aspekten lässt sich eine Art Checkliste erstellen. Die folgenden Themenpunkte sollten von europäischen Unternehmen bei Datenübermittlugen auf Grundlage des DPF beachtet werden:

• • • Ist das Unternehmen nach dem DPF zertifiziert? Per Einsicht in Liste des US-Handelsministeriums prüfen.
    • Umfasst die Zertifizierung des US-Unternehmens die Kategorie der zu verarbeitenden Daten?
    • Existiert eine Rechtsgrundlage für die Datenverarbeitungen aus Art. 6 DSGVO und ggf. aus Art. 9 Abs. 2 DSGVO?
    • Werden die Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 DSGVO eingehalten und ist dies nachweisbar?
    • Wurden Anpassungen an den Datenschutzhinweisen vorgenommen, sodass Betroffene zusätzlich zu den Empfängern (Art. 13 Abs. 1 lit. e) DSGVO oder Art. 14 Abs. 1 lit. e) DSGVO) in den USA auch über das Vorhandensein des Angemessenheitsbeschlusses (Art. 13 Abs. 1 lit. f) DSGVO oder Art. 14 Abs. 1 lit. f) DSGVO) informiert werden?
    • Regelmäßige Überprüfung: Wurde das US-Unternehmen zwischenzeitlich von Liste entfernt?

Rechte der betroffenen Personen nach dem DPF

US-Unternehmen müssen nach dem DPF ebenfalls selbst gegenüber betroffenen Personen bestimmte Informationspflichten erfüllen (Annex I II. 1. a. DPF). Beispielsweise müssen betroffene Personen darüber informiert werden, dass das Unternehmen am EU-U.S. DPF teilnimmt, welche Daten es verarbeitet sowie über die Zwecke der Datenverarbeitung, über mögliche Empfänger der Daten, Beschwerdekanäle und über Auskunftsrechte. Der Hinweis muss in klarer Sprache und deutlich sichtbar und grundsätzlich vor der ersten Datenverarbeitung erfolgen (Annex I II. 1. b. DPF). Es bleibt abzuwarten, wie US-Unternehmen Informationspflichten oder auch Auskunftsrechte der betroffenen Personen umsetzen werden und ob dies auch Auswirkungen auf die in der EU ansässigen Unternehmen haben wird. Ggf. wird man sich versuchen vertraglich darauf zu einigen, dass ein europäisches Unternehmen zumindest einen Teil der Informationspflichten für das US-Unternehmen erfüllt. Dies kann insbesondere relevant sein, wenn nur das in der EU ansässige Unternehmen direkten Kontakt zu Betroffenen hat.

Das DPF sieht eine Ausübung der Rechte der betroffenen Personen gegenüber dem US-Unternehmen vor (Annex I III. 8. a. DPF). Auch zu Zeiten der Gültigkeit vom Privacy-Shield-Abkommen riet beispielsweise der LfDI Baden-Württemberg betroffenen Personen sich bezüglich der Ausübung ihrer Rechte zunächst direkt an das US-Unternehmen zu wenden (LfDI Baden-Württemberg, Überblick EU-U.S. Privacy Shield, Link).

Weiteres Verfahren

Die Europäische Kommission hat den Entwurf dem EDSA vorgelegt. Dieser gibt eine Stellungnahme ab, welche jedoch nicht verbindlich ist. Im weiteren Verfahren findet eine Abstimmung in einem Ausschuss statt, der sich aus Vertretern der Mitgliedstaaten zusammensetzt (Komitologieverfahren). Wenn der Ausschuss eine ablehnende Stellungnahme erteilen sollte, dann erlässt die Kommission den Angemessenheitsbeschluss zunächst nicht. Daran anknüpfend würde in so einem Fall aber trotzdem grundsätzlich gemäß dem in der Komitologie-Verordnung geregelten Verfahren der Erlass des Angemessenheitsbeschlusses möglich bleiben. Es gilt zum jetzigen Zeitpunkt abzuwarten, ob der Ausschuss überhaupt eine ablehnende Stellungnahme erteilen wird.

Empfehlung für Unternehmen

Bis zum endgültigen Erlass des Beschlusses durch die Europäische Kommission müssen also weiterhin andere Transfermechanismen – wie beispielsweise Standardvertragsklauseln, bei denen ein Transfer Impact Assessment durchgeführt werden muss – verwendet werden. Sobald der neue Angemessenheitsbeschluss gültig ist, kann dieser unter Beachtung der oben beschriebenen Punkte als Grundlage für eine Datenübermittlung in die USA dienen. Dabei dürfen Unternehmen auf dessen Wirksamkeit vertrauen, sollten aber die oben in der Checkliste benannten Themenpunkte beachten.

Passend zu diesem Thema, möchten wir Sie auf unser Seminar Piltz Legal Update am 17. März 2023 in Nürnberg mit dem Titel “Aktuelles zu Drittstaatentransfers“ hinweisen.