13. Juli 2023 von Vera Franz, Martin Brandmüller
Am 10.07.2023 hat die EU-Kommission eine Entscheidung für einen sicheren Datenverkehr zwischen der EU und den USA verabschiedet. Diese Entscheidung trägt den Namen „EU-U.S Data Privacy Framework (EUDPF)" und soll Datentransfers in die USA unbürokratisch ermöglichen. Nach „Safe-Harbor“ (ungültig erklärt worden vom EuGH am 06.10.2015, „Schrems- I-Urteil“) und „Privacy Shield“ (ungültig erklärt worden vom EuGH am 16.07.2020, „Schrems-II-Urteil“) ist dies nun der dritte Versuch transatlantische Datentransfers abzusichern. Aber Achtung: der unbequeme österreichische Jurist und Aktivist Max Schrems hat am Tag der Entscheidung schon angekündigt, dass er auch gegen das neue Abkommen vor den EuGH ziehen will. Und auf die Entscheidung des Gerichts wird es, wie es bereits zweimal der Fall war, rechtlich ankommen. Wann der EuGH in dieser Frage entscheiden wird, ist zum jetzigen Zeitpunkt allerdings nicht absehbar, ebenso wenig wie der Ausgang eines möglichen Verfahrens.
Rechtlich ist das EUDPF ein Angemessenheitsbeschluss nach Art. 45 Abs. 1 und 3 DSGVO. Damit gelten die USA ab sofort wieder als sicheres Drittland. Voraussetzung ist allerdings, dass die datenempfangenden Unternehmen in den USA eine Zertifizierung vornehmen und sich damit verpflichten, bestimmte Datenschutzgrundsätze einzuhalten. Diese Selbstzertifizierung gab es schon beim Privacy Shield und kann ab dem 17.07.2023 unter diesem Link eingesehen werden.
Ein wenig müssen wir also warten, ob ein potenzieller Datenempfänger sich zertifiziert - bei den großen Anbietern Google, Amazon, Apple, Microsoft und Meta ist dies aber ohne weiteres zu erwarten.
Bei Neuverträgen mit zertifizierten Empfängern in den USA, ist erstmal nichts weiter zu beachten. Datenübertragungen an diese Empfänger sind unbürokratischer als bisher möglich.
Bei bereits bestehenden Verträgen sind - sobald der Datenempfänger zertifiziert ist – die bisher abgeschlossenen SCC, welche eine Übertragung in die USA in der Vergangenheit rechtfertigten, zu widerrufen. Dies ergibt sich aus Klausel 16 e) der EU SCC und kann von jeder Partei einseitig vorgenommen werden.
Bei datenempfangenden Unternehmen, die sich nicht zertifizieren, bleibt es beim bisherigen Vorgehen, nämlich der Verwendung von sog. Standard Contractual Clauses (SCC) und der Durchführung eines Transfer Impact Assesment (TIA).
Liegt eine Zertifizierung vor, sind Anpassungen in den Datenschutzhinweisen nach Art. 13, 14 DSGVO (insbesondere auf den Webseiten) notwendig. Insbesondere bei Webseiten ist es unbedingt notwendig, dass, sollte eine Übermittlung aufgrund einer Einwilligung nach Art. 49 Abs. 1 lit. a) DSGVO i. V.m. Art. 6 Abs. 1 lit. a) DSGVO erfolgt sein, dies abgeändert wird und als Rechtfertigung der Übermittlung der konkrete Angemessenheitsbeschluss genannt wird. Betroffene sind zusätzlich zu den Kategorien von Empfängern (Art. 13 Abs. 1 lit. e) DSGVO oder Art. 14 Abs. 1 lit. e) DSGVO) in den USA auch über das Vorhandensein des Angemessenheitsbeschlusses (Art. 13 Abs. 1 lit. f) DSGVO oder Art. 14 Abs. 1 lit. f) DSGVO zu informieren. Der Angemessenheitsbeschluss ist zu nennen.
Bei der Beauskunftung von Betroffenenanfragen ist erforderlich, dass diese über den Angemessenheitsbeschluss im Zusammenhang mit der Übermittlung unterrichtet werden, Art. 15 Abs. 2 DSGVO.
Zudem sind ggf. Änderungen in den Auftragsverarbeitungsverträgen nach Art. 28 Abs. 3 DSGVO und den Angaben im Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 lit. e) DSGVO notwendig.