Am 10.07.2023 ist der Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten, der als Grundlage für Datenübermittlung an zertifizierte Organisationen in die USA dienen kann.
Damit soll die bisher kritisch begutachtete Datenübertragung nach den USA abgesichert werden.
Vorab aber dazu eine kurze Entstehungsgeschichte des EU‐US Data Privacy Framework um die Einordnung zu erleichtern.
Der Europäische Gerichtshof (EuGH) erklärte 2015 und 2020 in den sog. „Schrems I“‐ und „Schrems II“‐Urteilen zwei frühere Angemessenheitsbeschlüsse für zertifizierte Stellen in den USA („Safe Harbor“ sowie „Privacy Shield“) aufgrund unverhältnismäßiger Zugriffsbefugnisse der US‐Sicherheitsbehörden und unzureichender Rechtsschutzmöglichkeiten für betroffene Personen für ungültig.
Dies lag zu einem sehr großen Teil an den Offenlegungen, dass US‐Sicherheitsbehörden systematisch und massenhaft auf personenbezogene Daten von EU‐Bürgerinnen und EU‐Bürgern zugreifen. Damit wurden die Grundsätze der Besagten gravierend verletzen. Daraufhin erklärte der EuGH im Oktober 2015 in der sog. „Schrems I“‐Entscheidung den „Safe Harbor“‐Angemessenheitsbeschluss der Europäischen Kommission für ungültig.
Der nachfolgende Angemessenheitsbeschluss, der auf das sog. „Privacy Shield“ beruhte, wurde aus ähnlichen Gründen durch das Urteil des EuGH s am 16. Juli 2020 ebenfalls hinfällig.
I. Das Problem der Übermittlung an sog. unsichere Drittländer
Problematisch seit dem war, dass es sich auch beim Einräumen einer faktischen Zugriffsmöglichkeit aus dem Drittland (beispielsweise für administrative oder Supportzwecke) um eine Übermittlung nach Drittländern handeln kann. Die seitdem von US-Dienstleistern angeführten Server innerhalb der EU, auf denen die personenbezogenen Daten von EU-Bürgern abgespeichert wurden, waren daher, genauso wie die vertragliche (nicht realistisch erfüllbare) Garantie, die Datenverarbeitung auf EU-Länder zu beschränken, datenschutzrechtlich gesehen, häufig irrelevant .
Als Lösung sollten die von der Europäischen Kommission verfassten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer dienen.
Diese wurden allerdings auch von vielen als nicht ausreichend bewertet, aus Gründen, die bereits anderorts in erheblicher Breite und Tiefe diskutiert wurden und deswegen hier nicht wiederholt werden sollen.
Dieses Problem soll aber nun mit dem EU‐US Data Privacy Framework abgeschafft worden sein.
Wichtig zu merken ist, dass der Angemessenheitsbeschluss zum EU‐US DPF lediglich sektoral ist. Dies bedeutet, er erfasst nur Datenübermittlungen an teilnehmende US‐Organisationen. Hier handelt es sich eben nicht um einen umfassenden Angemessenheitsbeschluss für die gesamten USA.
Datenexporteure müssen daher prüfen, ob ihre geplanten Datenübermittlungen in den Anwendungsbereich des Beschlusses fallen und damit auf Grundlage dieses Übermittlungsinstrumentes vorgenommen werden können.
II. Wer kann sich zertifizieren lassen? Wie wird zertifiziert?
Eine Selbstzertifizierung unter dem EU‐US DPF ist jeder US‐Organisationen, die der Aufsicht der Federal Trade Commission (FTC, eine US‐Bundesbehörde, die für Wettbewerbskontrolle sowie Verbraucherschutz zuständig ist) oder des US Department of Transportation (DOT, US‐Verkehrsministerium) unterliegen, möglich.
Zukünftig können gegebenenfalls weitere Zuständigkeiten hinzukommen.
Bislang steht eine Zertifizierung jedoch nur Unternehmen offen, welche einer der genannten aufsichtsbehördlichen Zuständigkeiten unterliegen.
Für die Aufnahme der Zertifizierung in die Liste des US‐Handelsministeriums (US Department of Commerce, DOC) bestehen bestimmte Voraussetzungen.
Dem Handelsministerium müssen unter anderem bestimmte 25 Informationen übermittelt werden:
• den Namen der betreffenden US‐Organisation (US‐Unternehmen oder US‐Tochtergesellschaften),
• den Zweck, zu dem die Organisation personenbezogene Daten verarbeiten wird,
• die Kategorie der personenbezogenen Daten, die von der Zertifizierung erfasst werden,
• die gewählte Überprüfungsmethode,
• den einschlägigen unabhängigen Regressmechanismus und
• die für die Durchsetzung der Grundsätze zuständigen gesetzlichen Stelle.
Werden sämtliche Anforderungen nach Überprüfung durch das Handelsministerium erfüllt, erklären die jeweiligen US‐Organisationen öffentlich, dass sie sich zur Einhaltung der Vorgaben des EU‐US DPF verpflichten, ihre Datenschutzrichtlinien zur Verfügung zu stellen und diese vollständig umsetzen.
Zur Überprüfung wird eine „Data Privacy Framework List“ veröffentlicht, welche diejenigen US‐Organisationen auflistet, die ihre Selbstzertifizierung unter dem EU‐US DPF abgeschlossen haben.
Nur Übermittlungen an dort aufgelistete US‐Organisationen können auf den EU‐US DPF gestützt werden. Es sollte also vor dem Eingehen eines jeweiligen Vertragsverhältnisses eine Überprüfung erfolgen, ob die jeweilige US-Organisation eine entsprechend gültige Zertifizierung besitzt.
Auf Grundlage des EU‐US DPF, können personenbezogene Daten ab dem Zeitpunkt, zu welchem die Organisation auf der entsprechenden Liste aufgezeigt wird, übermittelt werden.
Zum Erhalt der Zertifizierung erfolgt eine jährliche „Neu‐Zertifizierung“ mit Verpflichtungserklärungen gegenüber dem Handelsministerium und einer erneuten Prüfung durch dieses.
Die FTC, deren Zuständigkeit in 15 U.S.C. § 45 geregelt ist, weist auf Bereiche hin, in welchen sie keine bzw. nur eingeschränkte Zuständigkeiten hat.
Sollte der Datenexporteur daher Übermittlungen in diesen Bereichen planen, kann dies evtl. nicht auf Grundlage des Angemessenheitsbeschlusses zum EU/US DPF erfolgen. Betroffen sind insbesondere die Betreiber öffentlicher Telekommunikationsnetze, das Versicherungsgewerbe und der Bankensektor. Hier muss der Datenexporteur genau prüfen, ob der Datenimporteur auf der EU/US/DPF /Liste gelistet wurde.
III. Welche Übermittlungen sind erfasst?
Auf Grundlage des EU‐US DPF können nahezu alle Übermittlungen personenbezogener Daten aus der EU sowie dem EWR an US‐Organisationen, die aufgrund ihrer Zertifizierung zum EU‐US DPF in der EU‐US‐DPF‐Liste gelistet sind, erfolgen.
Allerdings sind keine Datenübermittlungen von Stellen außerhalb der EU (EWR), welche der DS‐GVO gem. Art. 3 Abs. 2 DS‐GVO unterfallen, an Organisationen in den USA, welche in der EU‐US‐DPF‐Liste, aufgelistet sind, vom Angemessenheitsbeschluss umfasst. Zudem gilt eine „journalistische Ausnahme“ für Daten im Zusammenhang mit journalistischer Aktivität und Medienarchiven. Diese Daten können nicht auf Grundlage des EU‐US DPF übermittelt werden.
Bei Beschäftigtendaten, welche im Beschäftigungskontext übermittelt werden, muss vorher geprüft werden, ob die Zertifizierung sich tatsächlich auch auf diese spezielle Datenart bezieht, da die Zertifizierung diese, nach unserer Ansicht, nicht zwingend erfasst.
