5. Oktober 2023
Anbieter und Website-Betreiber, die Web-Analyse-Dienste, soziale Medien, Cloud- oder sonstige Dienste nutzen, bei denen personenbezogene Daten in die USA übermittelt werden (was bei einem Großteil der Dienste der Fall ist), müssen in bestimmten Fällen ihre Datenschutzerklärungen anpassen. Hintergrund ist der „Angemessenheitsbeschluss“ vom 10. Juli 2023, mit dem die EU-Kommission einen rechtlichen Rahmen geschaffen hat, der den Transfer personenbezogener Daten in die USA erheblich vereinfacht.
1.) Was ist der EU-US Datenschutzrahmen?
Konkret hat die EU-Kommission festgestellt, dass für Datenübermittlungen an US-Unternehmen ein angemessenes Datenschutzniveau besteht, wenn sich das empfangende US-Unternehmen nach dem neu geschaffenen EU-US Datenschutzrahmen im erforderlichen Umfang zertifiziert hat und auf der betreffenden Liste des US-Handelsministeriums (Data Privacy Framework List) aufgeführt ist.
2.) Was bedeutet das für den Daten-Exporteur?
Soweit dies der Fall ist, erübrigen sich bisher erforderliche besondere Maßnahmen wie bspw. der Abschluss von EU-Standardvertragsklauseln, wie sie bislang für den Transfer in die USA erforderlich waren. Die allgemeinen Anforderungen der DS-GVO wie ggf. der Abschluss einer Auftragsverarbeitungsvertrages nach Art. 28 DSGVO bleiben unberührt. Mittlerweile hat sich eine Vielzahl von Unternehmen zertifiziert für den EU-US Datenschutzrahmen, darunter bspw. Google, Microsoft und Meta.
Anbieter und Website-Betreiber, die Dienste zertifizierter Unternehmen nutzen, müssen ihre Datenschutzerklärungen anpassen.
3.) Unsicherheit über langfristigen Fortbestand
Der EU-US-Datenschutzrahmen ist ein Nachfolger der durch die sog. Schrems-Urteile des EuGH in den Jahren 2015 und 2020 für ungültig erklärten Vorläuferabkommen (Safe Harbour und Privacy Shield). Ob er einer Überprüfung durch den EuGH standhält, ist fraglich. Kritiker bemängeln, dass keine grundlegenden Änderungen im US-Überwachungsrecht erreicht worden seien und EU-Bürger nach wie vor anlasslos und unverhältnismäßig überwacht werden dürften und anders als US-Bürger keine verfassungsmäßigen Rechte hätten.
Sollte es zu einem Verfahren vor dem EuGH kommen, wäre eine Entscheidung durch den Gerichtshof freilich erst nach Ablauf einiger Zeit, vielleicht zwei Jahre, zu erwarten. Bis dahin behält der EU-US Datenschutzrahmen seine Gültigkeit, so dass Datenübermittlungen an zertifizierte US-Unternehmen darauf gestützt werden können.
4.) Fazit
Der neue EU-US-Datenschutzrahmen erleichtert den Transfer personenbezogener Daten in die USA erheblich. Voraussetzung ist, dass das Empfängerunternehmen sich im erforderlichen Umfang zertifiziert hat. Für viele US-Unternehmen ist das mittlerweile der Fall. Anbieter und Website-Betreiber, die Dienste zertifizierter Unternehmen nutzen, müssen ihre Datenschutzerklärungen anpassen.
Rechtsanwalt Marc Dimolaidis LL.M.
WEITERE ARTIKEL ZUM DATENSCHUTZRECHT: