Der Transatlantische Datenschutzrahmen ist gekommen: Der DSGVO-konforme Datentransfer in die USA ist ein stetes Problem und fand lange in einer unregulierten Grauzone statt, seitdem der letzte Versuch des „Privacy Shield“ glamourös gescheitert ist (siehe unsere Beiträge zu dem Thema).
Mit dem nun vorliegenden Angemessenheitsbeschluss bescheinigt die EU-Kommission den USA ein angemessenes Datenschutzniveau im Sinne der Datenschutz-Grundverordnung. Datenübermittlungen in die USA bedürfen damit für die Dauer der Wirksamkeit des Angemessenheitsbeschlusses keiner besonderen Genehmigung mehr, sofern sich die betroffenen US-Unternehmen auf der Website des U.S. Department of Commerce haben zertifizieren lassen und sodann in einer dort einsehbaren Liste geführt werden. Zertifizierungen von Unternehmen nach dem Vorgängerabkommen EU-U.S. Privacy Shield bleiben nach einer Entscheidung des U.S. Department of Commerce zusätzlich gültig. Die Unternehmen müssen lediglich ihre Datenschutzbestimmungen bis zum 10.10.2023 entsprechend aktualisieren.
Links dazu: Die Suchmaske nach registrierten Unternehmen | Anwendungshinweise der DSK
Update: Am 10.7.23 wurde der EU-US-Datenschutzrahmen veröffentlicht; Hinweis: Klage dagegen wurde bereits angekündigt!
März 2022: EU-Kommission und USA suchen einen Weg
Transatlantischer Datenschutzrahmen: Bereits im März 2022 haben sich die EU-Kommission und die USA auf einen neuen grundsätzlichen transatlantischen Datenschutzrahmen geeinigt. Dieser neue Datenschutzrahmen soll den transatlantischen Datenverkehr, unter Berücksichtigung der bisherigen Rechtsprechung des Gerichtshofs der Europäischen Union, „sauber“ ermöglichen. Die USA verpflichten sich dabei zu Reformen, die den Schutz der Privatsphäre und der bürgerlichen Freiheiten im Zusammenhang mit nachrichtendienstlichen Aktivitäten stärken.
Transatlantischer Datenschutzrahmen: Wie ist der aktuelle Stand?
Die EU-Kommission muss im weiteren Schritt, nach der Vorgabe aus den USA, den Entwurf eines Angemessenheitsbeschlusses vorlegen und das Verfahren, zu dessen Annahme einleiten, was kein simpler Prozess ist, vorgesehen sind:
- Einholung einer Stellungnahme des europäischen Datenschutzausschusses (EDPB, siehe dazu vorher auch hier)
- Zustimmung des zuständiges Ausschusses, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt;
- Ausübung des Kontrollrechts des europäischen Parlaments;
Sobald dies erledigt ist, kann die Europäische Kommission die endgültige Angemessenheitsentscheidung in Bezug auf die USA treffen. Von diesem Zeitpunkt an können Daten dann theoretisch frei und sicher zwischen der EU und US-Unternehmen fließen, die vom Handelsministerium auf der Grundlage des neuen Rahmens zertifiziert wurden. US-Unternehmen können zudem dem Rahmen beitreten, indem sie sich verpflichten, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten.
Welche Möglichkeiten stehen den Unternehmen in der Zwischenzeit zur Verfügung?
Es ist daran zu erinnern, dass ein Angemessenheitsbeschluss nicht das einzige Instrument für internationale Übermittlungen ist: Die sogenannten Standardvertragsklauseln, die Unternehmen in ihre Handelsverträge aufnehmen können, sind das am häufigsten genutzte Instrument für die Übermittlung von Daten aus der EU. Daneben sind zu nennen, die Binding Corporate Rules, „Genehmigte Verhaltensregeln“ und der „Genehmigte Zertifizierungsmechanismus“. Wie wichtig die Klärung sein kann, zeigte zuletzt, dass Streit über den Speicherort von Daten in Vergabeverfahren hineinspielen kann (OLG Karlsruhe, 15 Verg 8/22):
Durch die Unterzeichnung der … vorgegebenen DSGVO-Verträge hat die … erklärt, die gemachten Vorgaben einzuhalten. Sie hat zudem ihre Leistungen beim Einsatz von Dienstleistern und im Bereich von Datenschutz und IT-Sicherheit im Angebot im Einzelnen näher beschrieben und hierbei ein klares und eindeutiges Leistungsversprechen abgegeben. Sie hat in diesem Zuge zugesichert, dass personenbezogene Gesundheitsdaten ausschließlich an … übermittelt werden und auch zu ihrer Verarbeitung die EU nicht verlassen, sondern nur in Deutschland verarbeitet werden.
OLG Karlsruhe, 15 Verg 8/22
Im vergangenen Jahr hat die EU-Kommission aktualisierte „Standardvertragsklauseln“ veröffentlicht, um ihre Verwendung zu erleichtern, auch im Lichte der Anforderungen, die der Gerichtshof im Urteil Schrems II festgelegt hat. Dabei gilt Vorsicht, wenn man bereits früher auf die älteren Standardvertragsklauseln gesetzt hat: Seit dem 27. September 2021 müssen für Neuverträge zwingend die neuen Standardvertragsklauseln verwendet werden.
Für Altverträge, die vor dem 27. September 2021 abgeschlossen worden sind, hat die Kommission einen Übergangszeitraum zur Umstellung auf die neuen Klauseln vorgesehen, der nun bald endet. Spätestens bis zum 27. Dezember 2022 müssen alle Altverträge umgestellt worden sein. Nach diesem Datum gelten die früheren Standardvertragsklauseln nicht mehr als „geeignete Garantie“ im Sinne von Art. 46 Abs. 2 Buchstabe b DS-GVO für den Export personenbezogener Daten.
Generell sollte vorab darauf geachtet werden, die wichtigen Schritte zu unternehmen:
- Bestandsaufnahme über Datenexporte in Drittländer
- Überprüfung der Datenexporte auf der Grundlage von Standardvertragsklauseln
- Überprüfung der Datenexporte auf der Grundlage von Binding Corporate Rules
- Datenexporte auf der Grundlage von Ausnahmen nach Art. 49 DS-GVO
- Überprüfung und ggf. Aktualisierung der Dokumentation und der Informationspflichten
- Meldepflicht gegenüber der Aufsichtsbehörde einhalten
- Justizminister wünschen allgemeine Autoschlüssel-Kopie für Ermittler - 7. Dezember 2024
- KCanG: BGH zur Zusammenrechnung von Freimengen - 5. Dezember 2024
- BVerfG zu Encrochat: Keine generellen Beweisverwertungsverbote - 5. Dezember 2024