Durchbruch für Datentransfer in die USA – EU-Kommission nimmt Angemessenheitsbeschluss an

Was die Spatzen in den letzten Tagen bereits von den Dächern gepfiffen hatten (wir berichteten, Update zum transatlantischen Datentransfer – USA erledigt Hausaufgaben und EU steht kurz vor Verabschiedung des Angemessenheitsbeschlusses - SKW Schwarz), wurde gestern offiziell verkündet. Die EU-Kommission hat ihren Angemessenheitsbeschluss für das neue EU-US-Datenschutzabkommen angenommen (Datenverkehr zwischen der EU und den USA: Europäische Kommission erlässt neuen Angemessenheitsbeschluss (europa.eu)). Darin wird bestätigt, dass die USA ein hinreichendes Schutzniveau für personenbezogene Daten gewährleisten. Der Datentransfer an US-Unternehmen wird dadurch künftig deutlich vereinfacht. Aber Achtung: US-Unternehmen, an die Daten auf Basis des Angemessenheitsbeschlusses übermittelt werden soll, müssen sich in den USA zunächst noch zertifizieren lassen.

Die Zertifizierung ist über die vom US-Handelsministerium betriebene Website www.dataprivacyframework.gov vorzunehmen, die aktuell allerdings noch nicht live geschaltet ist. Es ist davon auszugehen, dass sich die meisten US-Unternehmen, die Daten aus Europa empfangen, in den nächsten Wochen um diese Zertifizierungen bemühen werden. Auf der o.g. Website des US-Handelsministeriums wird künftig eine aktualisierte Liste der zertifizierten und der ehemals zertifizierten Unternehmen (mit Angabe der Gründe für die Streichung) veröffentlicht. Die Zertifizierung muss jährlich aktualisiert werden.

Alle bisherigen Rechtsgrundlagen für Datentransfers in die USA, wie beispielsweise Standardvertragsklauseln, bleiben wirksam und bis zur Zertifizierung des die Daten empfangenden US-Unternehmens auch erforderlich. Nicht vom Angemessenheitsbeschluss abgedeckt sind zudem Datentransfers aus der USA an Subunternehmer in anderen Drittstaaten. Insoweit bedarf es alternativer Rechtsgrundlagen (z.B. Standardvertragsklauseln). Im Übrigen werden Unternehmen auch weiterhin ihre datenschutzrechtlichen Hausaufgaben zu erledigen haben, insbesondere müssen sie ihre Datenströme genau kennen und dokumentieren („Know your data transfers“). Sofern Datentransfers künftig auf den Angemessenheitsbeschluss gestützt werden, sind Verträge und Datenschutzhinweise entsprechend anzupassen (s.u., Praxistipps).

Max Schrems hat wenig überraschend bereits angekündigt, auch gegen das neue EU-US-Datenschutzabkommen rechtlich vorzugehen, und eine entsprechende Stellungnahme veröffentlicht (Europäische Kommission gibt EU-US-Datentransfers 3. Runde beim EuGH (noyb.eu)). Darin geht Schrems davon aus, dass die Angelegenheit bereits Anfang 2024 wieder vor dem EuGH landen werde und hält sogar eine vorläufige Aussetzung des EU-US-Datenschutzabkommen für möglich.

Wichtige Praxistipps für Unternehmen, die Datentransfers künftig auf den Angemessenheitsbeschluss stützen wollen, sind nun:

• Zertifizierung des US-Unternehmens unter dem neuen EU-US-Datenschutzabkommen prüfen und verifizieren lassen
• Datenströme prüfen, insbesondere dahingehend, ob Subunternehmer in anderen Drittstaaten eingesetzt werden (dann reicht der Angemessenheitsbeschluss allein nicht aus)
• Datenschutz-Folgenabschätzungen anpassen, insbesondere im Hinblick auf die Risikobewertung im Zusammenhang mit dem Drittlandtransfer
• Datenschutzverträge und Datenschutzhinweise (u.a. auf Website) anpassen
• Verzeichnis der Verarbeitungstätigkeiten aktualisieren.

Wir unterstützen Sie bei der Umsetzung der o.g. Maßnahmen und halten Sie hinsichtlich der weiteren Entwicklungen, u.a. über uns bekannte Zertifizierungen einschlägiger US-Anbieter, up to date.