Kategorien
Datenschutzrecht

Transatlantischer Datenschutzrahmen: US-Datentransfer mit der DSGVO (2022)

Der Transatlantische Datenschutzrahmen soll kommen: Der -konforme Datentransfer in die USA ist ein stetes Problem und findet aktuell wohl eher in einer unregulierten Grauzone statt, seitdem der letzte Versuch des „“ glamourös gescheitert ist (siehe unsere Beiträge zu dem Thema). Inzwischen zeigt sich ein wenig Licht – aber auch Schatten.

März 2022: EU-Kommission und USA suchen einen Weg

Transatlantischer Datenschutzrahmen: Bereits im März 2022 haben sich die EU-Kommission und die USA auf einen neuen grundsätzlichen transatlantischen Datenschutzrahmen geeinigt. Dieser neue Datenschutzrahmen soll den transatlantischen Datenverkehr, unter Berücksichtigung der bisherigen Rechtsprechung des Gerichtshofs der Europäischen Union, „sauber“ ermöglichen. Die USA verpflichten sich dabei zu Reformen, die den Schutz der Privatsphäre und der bürgerlichen Freiheiten im Zusammenhang mit nachrichtendienstlichen Aktivitäten stärken.

Transatlantischer Datenschutzrahmen - Rechtsanwalt Ferner, Fachanwalt für IT-Recht zu, Transatlantischer Datenschutzrahmen
EU-Banner zum neuen transatlantischen Übereinkommen

Transatlantischer Datenschutzrahmen: Wie ist der aktuelle Stand?

Die EU-Kommission muss im weiteren Schritt, nach der Vorgabe aus den USA, den Entwurf eines Angemessenheitsbeschlusses vorlegen und das Verfahren, zu dessen Annahme einleiten, was kein simpler Prozess ist, vorgesehen sind:

  • Einholung einer Stellungnahme des europäischen Datenschutzausschusses (EDPB, siehe dazu vorher auch hier)
  • Zustimmung des zuständiges Ausschusses, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt;
  • Ausübung des Kontrollrechts des europäischen Parlaments;

Sobald dies erledigt ist, kann die Europäische Kommission die endgültige Angemessenheitsentscheidung in Bezug auf die USA treffen. Von diesem Zeitpunkt an können Daten dann theoretisch frei und sicher zwischen der EU und US-Unternehmen fließen, die vom Handelsministerium auf der Grundlage des neuen Rahmens zertifiziert wurden. US-Unternehmen können zudem dem Rahmen beitreten, indem sie sich verpflichten, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten.

Welche Möglichkeiten stehen den Unternehmen in der Zwischenzeit zur Verfügung?

Es ist daran zu erinnern, dass ein Angemessenheitsbeschluss nicht das einzige Instrument für internationale Übermittlungen ist: Die sogenannten Standardvertragsklauseln, die Unternehmen in ihre Handelsverträge aufnehmen können, sind das am häufigsten genutzte Instrument für die Übermittlung von Daten aus der EU. Daneben sind zu nennen, die Binding Corporate Rules, „Genehmigte Verhaltensregeln“ und der „Genehmigte Zertifizierungsmechanismus“. Wie wichtig die Klärung sein kann, zeigte zuletzt, dass Streit über den Speicherort von Daten in Vergabeverfahren hineinspielen kann (OLG Karlsruhe, 15 Verg 8/22):

Durch die Unterzeichnung der … vorgegebenen DSGVO-Verträge hat die … erklärt, die gemachten Vorgaben einzuhalten. Sie hat zudem ihre Leistungen beim Einsatz von Dienstleistern und im Bereich von und IT-Sicherheit im Angebot im Einzelnen näher beschrieben und hierbei ein klares und eindeutiges Leistungsversprechen abgegeben. Sie hat in diesem Zuge zugesichert, dass personenbezogene Gesundheitsdaten ausschließlich an … übermittelt werden und auch zu ihrer Verarbeitung die EU nicht verlassen, sondern nur in Deutschland verarbeitet werden. 

OLG Karlsruhe, 15 Verg 8/22

Im vergangenen Jahr hat die EU-Kommission aktualisierte „Standardvertragsklauseln“ veröffentlicht, um ihre Verwendung zu erleichtern, auch im Lichte der Anforderungen, die der Gerichtshof im Urteil Schrems II festgelegt hat. Dabei gilt Vorsicht, wenn man bereits früher auf die älteren Standardvertragsklauseln gesetzt hat: Seit dem 27. September 2021 müssen für Neuverträge zwingend die neuen Standardvertragsklauseln verwendet werden.

Für Altverträge, die vor dem 27. September 2021 abgeschlossen worden sind, hat die Kommission einen Übergangszeitraum zur Umstellung auf die neuen Klauseln vorgesehen, der nun bald endet. Spätestens bis zum 27. Dezember 2022 müssen alle Altverträge umgestellt worden sein. Nach diesem Datum gelten die früheren Standardvertragsklauseln nicht mehr als „geeignete Garantie“ im Sinne von Art. 46 Abs. 2 Buchstabe b DS-GVO für den Export personenbezogener Daten.

Generell sollte vorab darauf geachtet werden, die wichtigen Schritte zu unternehmen:

  • Bestandsaufnahme über Datenexporte in Drittländer
  • Überprüfung der Datenexporte auf der Grundlage von Standardvertragsklauseln
  • Überprüfung der Datenexporte auf der Grundlage von Binding Corporate Rules
  • Datenexporte auf der Grundlage von Ausnahmen nach Art. 49 DS-GVO
  • Überprüfung und ggf. Aktualisierung der Dokumentation und der Informationspflichten
  • Meldepflicht gegenüber der Aufsichtsbehörde einhalten

Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Unsere Kanzlei ist spezialisiert auf Strafverteidigung, Wirtschaftsstrafrecht und IT-Recht. Rechtsanwalt Jens Ferner ist Fachanwalt für Strafrecht und Fachanwalt für IT-Recht. RA JF ist Kommentator in einem StPO-Kommentar sowie Autor in zwei Fachzeitschriften im IT-Recht + Strafrecht, zudem Softwareentwickler. Seine Spezialität ist die Schnittmenge aus Strafrecht und IT, speziell bei Fragen digitaler Beweismittel & IT-Forensik.

Ihr Profi bei Strafverteidigung und im Wirtschaftsstrafrecht sowie für Unternehmen im IT-Recht inklusive Softwarerecht, Datenschutzrecht, IT-Compliance, IT-Sicherheit und IT-Vertragsrecht mit Arbeitsrecht.