Internationaler Datentransfer

Neues aus dem Bereich Internationaler Datentransfer

Als wichtigste Entwicklung auf dem Gebiet des Internationalen Datentransfers ist sicherlich die am 10. Juni 2023 in Kraft getretene neue Angemessenheitsentscheidung der Europäischen Kommission für die Übermittlung personenbezogener Daten in die USA, der sogenannte Datenschutzrahmen EU-USA (in englischer Sprache: EU-US Data Privacy Framework (EU-US DPF) zu nennen.

Bekanntlich hat der Europäische Gerichtshof (EuGH) in den Jahren 2015 und 2020 zwei frühere Angemessenheitsbeschlüsse für zertifizierte
Stellen in den USA („Safe Harbor“ sowie „Privacy Shield“) aufgrund unverhältnismäßiger Zugriffsbefugnisse der US-Sicherheitsbehörden und unzureichender Rechtsschutzmöglichkeiten hiergegen für betroffene Personen für ungültig erklärt und damit Datenexporteure in Europa vor Schwierigkeiten gestellt. Nachdem bereits im März 2022 die Präsidentin der Europäischen Kommission und der Präsident der Vereinigten Staaten von Amerika (US-Präsident) eine grundsätzliche Einigung über einen neuen transatlantischen Datenschutzrahmen verkündet hatten, welcher in der Executive Order 14086 durch den US-Präsidenten mündete, nahm die Europäische Kommission den Angemessenheitsbeschluss zum EU-US DPF am 10. Juli 2023 gegen das ablehnende Votum des Europäischen Parlaments an.

Dieser trat am selben Tag in Kraft und ermöglicht seitdem einen Transfer personenbezogener Daten an selbstzertifizierte Stellen in den USA, die auf einer vom US Handelsministerium veröffentlichten Liste verzeichnet sind. Eine Selbstzertifizierung unter dem EU-US DPF steht allen US-Organisationen offen, die der Aufsicht der Federal Trade Commission (FTC) oder des US Department of Transportation (DOT, US-Verkehrsministerium) unterliegen. Von der Aufsichtszuständigkeit der FTC ausgenommen sind insbesondere der Bankensektor, das Versicherungsgewerbe und die Betreiber öffentlicher Telekommunikationsnetze.

Erwähnenswert in Bezug auf den Anwendungsbereich des EU-US DPF ist neben einer „journalistische Ausnahme“ für Daten im Zusammenhang mit journalistischer Aktivität und Medienarchiven – diese Daten können nicht auf Grundlage des EU-US DPF übermittelt werden – auch, dass zwar einerseits eine gesonderte (Zusatz-) Zertifizierung für Beschäftigtendaten („Human resources data“ – HR-Daten), also Daten die im Beschäftigungskontext übermittelt werden, ermöglicht wurde – kenntlich an dem Eintrag „HR Data“ in der Rubrik „Covered Data“ beim Eintrag des jeweiligen Datenimporteurs in der EU-US-DPF-Liste – anderseits aber – wie schon bei den vorangegangenen Angemessenheitsentscheidungen – kein einheitliches Verständnis der europäischen und amerikanischen Seite über die Reichweite dieser Zusatzzertifizierung erreicht werden konnte. Obwohl der Begriff „Beschäftigtendaten“ durchaus nahelegt, dass darunter zumindest auch die Daten der Beschäftigten des jeweiligen Datenexporteurs – und gegebenenfalls auch anderer Stellen in der EU – fallen, sind damit nach dem Verständnis der US-Seite nur die Daten der Beschäftigten des jeweiligen Datenimporteurs in den USA gemeint.

www.dataprivacyframework.gov/s

Es ist somit denkbar, dass Exporteure in der EU sich dieses Verständnis zu eigen machen, einen Transfer personenbezogenen Daten ihrer Beschäftigten gestützt auf den EU-US DPF also auch an solche Stellen in den USA vornehmen, die nicht über die Zusatzzertifizierung für Beschäftigtendaten verfügen.

Übermittlungen an Stellen in den USA auf Grundlage geeigneter Garantien gem. Art. 46 DSGVO – beispielsweise Standardvertragsklauseln oder verbindliche Unternehmensrichtlinien (Binding Corporate Rules, BCR) – sind auch weiterhin möglich. Der hierfür nach der Rechtsprechung des EuGH erforderlichen Bewertung der Rechtslage und -praxis in den USA (sog. Transfer Impact Assessment – TIA) können Datenexporteure ab jetzt die von der EU-Kommission im Angemessenheitsbeschluss zum EU-US DPF ausgeführten Bewertungen zugrunde legen und damit auf das Ergreifen geeigneter zusätzlicher Maßnahmen (sog. „supplementary measures“) verzichten. Denn nach Mitteilung der EU-Kommission gelten alle von der US-Regierung im Bereich der nationalen Sicherheit implementierten Schutzmaßnahmen unabhängig von den verwendeten Übermittlungsinstrumenten für alle Datenübermittlungen im Rahmen der DSGVO an US-Unternehmen.

Verliert der Angemessenheitsbeschluss seine Gültigkeit, müssen Verantwortliche die entsprechenden Übermittlungen auf ein anderes, wirksames Übermittlungsinstrument aus Kapitel V DSGVO stützen oder die in Rede stehenden Übermittlungen einstellen. Die Datescnhutzbehörden haben immer wieder in den vergangenen Jahren darauf hingewiesen, dass ein Angemessenheitsbeschluss Klarheit beim Drittstaatenstransfer in die USA bringen kann, zugleich aber auch auf das Risiko hingewiesen, dass, sofern der Angemessenheitsbeschluss nicht die hohen Standards einhält, die der EuGH formuliert hat in seinen entsprechenden Entscheidungen, eine erneute Klage gegen den Angemessenheitsbeschluss nicht ausgeschlossen ist. Der aktuelle Angemessenheitsbeschluss ist für Datenexporteure sicherlich eine Erleichterung und gibt Sicherheit. Vermutlich ist die Debatte um die Angemessenheit des Beschlusses jedoch nicht beendet.

Quelle: LfDI BW

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
• Tragbarer Tresor für die Reise zum Schutz von Wertsachen
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen

Dieser Absatz enthält Affiliatelinks/Werbelinks