Angemessenheitsbeschluss zu Datentransfers in die USA – Das Wichtigste knapp erklärt
Datentransfers in die USA sind seit Jahren ein heißes Eisen. Grund dafür sind u.a. die Zugriffsmöglichkeiten der US-Geheimdienste auf Daten, die bei Dienstleistern verarbeitet werden. Nach „Safe Harbour“ und dem „Privacy Shield“ unternimmt die EU-Kommission mit dem sogenannten „Trans-Atlantic-Data-Privacy-Framework“ (TADPF) nunmehr den dritten Anlauf, rechtssichere Datentransfers in die USA und den damit verbundenen Einsatz von US-Dienstleistern zu ermöglichen.
Die EU-Kommission hat am 10. Juli 2023 im Wege eines Durchführungsbeschlusses (auch: Angemessenheitsbeschluss) festgestellt, dass für US-Unternehmen, die nach erfolgter Selbstzertifizierung auf der „Data Privacy Framework List“ des Handelsministeriums der Vereinigten Staaten (United States Department of Commerce) aufgeführt sind, ein angemessenes Datenschutzniveau im Sinne von Art. 45 Abs. 1 DSGVO besteht. Der Beschluss ist unter https://t1p.de/4zwvc abrufbar. Die Liste wird voraussichtlich ab dem 17. Juli 2023 unter https://www.dataprivacyframework.gov/s/ verfügbar sein.
Wir möchten Sie in der gebotenen Kürze darüber informieren, was TADPF konkret für Sie in der Zusammenarbeit mit US-Unternehmen oder mit Unternehmen, die Unterauftragnehmer in den USA einsetzen, bedeutet.
I. Kurz und knapp:
- Der Grundsatz, dass die USA ein Drittland im Sinne von Art. 44 DSGVO sind, das nicht über ein angemessenes Datenschutzniveau verfügt, bleibt weiterhin gültig (siehe Ziffer III).
- Für die Übermittlung personenbezogener Daten an ein Unternehmen in die USA benötigen Sie nicht mehr den Abschluss von EU-Standardvertragsklauseln und die Durchführung eines „Transfer Impact Assessment“ (TIA), wenn das US-Unternehmen eine Selbstzertifizierung nach dem TADPF vorgenommen hat und auf der „Data Privacy Framework List“ steht; zudem sollten Regelungen vorgesehen werden, welche Folgen eintreten, wenn die „Privilegierung“ durch festgestellte Unwirksamkeit von TADPF oder eine nicht vorgenommene Rezertifizierung während der Vertragslaufzeit endet (siehe Ziffer IV).
- Bestehende Verträge müssen regelmäßig nicht angepasst werden, ggf. müssen Sie aber Ihre Datenschutzerklärungen anpassen, in denen noch erklärt wird, dass personenbezogene Daten nur unter Verwendung von EU-Standardvertragsklauseln übermittelt werden (siehe Ziffer V).
- Werden in der Zusammenarbeit mit US-Unternehmen Daten an Subunternehmer in Drittländern ohne angemessenes Datenschutzniveau übermittelt, sind jedenfalls für diesen Verarbeitungsvorgang weiterhin die EU-Standardvertragsklauseln und die Durchführung eines TIA erforderlich (siehe Ziffer VI).
II. Hintergrund
Die o.g. Entscheidung folgt auf eine Executive Order von US-Präsident Joe Biden vom 7. Oktober 2022, mit der die „EU-U.S. Data Privacy Framework Principles“ des Handelsministeriums der Vereinigten Staaten in das Recht der USA implementiert wurden. Dies war nötig geworden, da der EuGH das sogenannte „Privacy Shield“ bzw. die Annahme, dass bei den unter dem Privacy Shield zertifizierten Organisationen ein angemessenes Datenschutzniveau besteht, für unwirksam erklärt hat.
Die Folge war, dass bei der Zusammenarbeit mit US-Unternehmen oder mit Unternehmen, die Unterauftragnehmer in den USA einsetzen, bei der personenbezogene Daten ausgetauscht werden, in der Mehrzahl der Fälle den Abschluss der EU-Standardvertragsklauseln und der Durchführung eines TIA voraussetzten. Selbst unter Berücksichtigung dieser Vorgaben wurde insbesondere von der Datenschutzaufsicht die Einhaltung der Vorgaben der Regelungen der DSGVO zum „Drittlandtransfer“ bezweifelt. Ein wesentliches Argument war dabei, dass die vertraglichen Verpflichtungen der US-Unternehmen, Dritten – inklusive staatlicher Stellen – keine personenbezogenen Daten zur Verfügung zu stellen, mit geltendem US-Recht kollidierte und daher in der Praxis nicht umzusetzen sei.
III. Das folgt unmittelbar aus dem Angemessenheitsbeschluss der EU-Kommission
Zunächst einmal bedeutet der Angemessenheitsbeschluss nicht, dass für die gesamte USA ein angemessenes Datenschutzniveau besteht, sondern nur im Hinblick auf die Organisationen, die in der „Data Privacy Framework List“ für die dort aufgeführten Verarbeitungen aufgeführt werden. Für alle anderen Unternehmen führen die strengen Anforderungen der Artt. 44ff. DSGVO weiterhin dazu, dass hier der Weg über EU-Standardvertragsklauseln und TIA zu gehen ist. Es ist davon auszugehen, dass die unter https://www.privacyshield.gov/list (also der Liste des für „unwirksam“ erklärten Privacy Shields) aufgeführten Unternehmen auch ihren Weg auf die „Data Privacy Framework List“ finden werden. Sollte dies noch nicht zu Beginn der Veröffentlichung am 17. Juli 2023 der Fall sein, sollte man im Zweifel bei betroffenen Unternehmen anfragen, ob eine zeitnahe Selbstzertifizierung zu erwarten ist.
IV. Das folgt für neu abzuschließende Vertragsverhältnisse mit US-Bezug
Möchten Sie einen Vertrag mit einem US-Unternehmen oder mit Unternehmen, die Unterauftragnehmer in den USA einsetzen, abschließen, bei dessen Durchführung personenbezogene Daten ausgetauscht werden und ihren Weg in die USA finden, müssten Sie zunächst prüfen, ob die betroffenen Unternehmen auf der „Data Privacy Framework List“ stehen. Dabei ist zu berücksichtigen, dass es nicht ausreicht, dass ein Unternehmen einer Unternehmensgruppe die Selbstzertifizierung vorgenommen hat, vielmehr müssen dies alle Unternehmen, die personenbezogene Daten in den USA verarbeiten, vorgenommen haben. Sind die Unternehmen auf der Liste aufgeführt, müssen natürlich weiterhin alle „allgemeinen“ Anforderungen der DSGVO (wie z.B. der Abschluss einer Auftragsvereinbarung nach Art. 28 DSGVO) erfüllt sein, streng genommen ist der Abschluss von EU-Standardvertragsklauseln und TIAs nicht mehr erforderlich. Da das TADPF das dritte Abkommen zur rechtssicheren Übermittlung personenbezogener Daten in die USA ist und die beiden Vorgänger „Safe Harbour“ und „Privacy Shield“ vom EuGH gekippt wurden, ist es insbesondere bei einer längeren Zusammenarbeit weiterhin ratsam, vertragliche Vorkehrungen für den Fall zu treffen, dass auch TADPF vom EuGH gekippt werden sollte. Dies kann u.a. dadurch erfolgen, dass für diesen Fall der Abschluss der anzuwendenden Module der Standardvertragsklauseln sowie die Mithilfe der US-Partner bei der Erstellung eines TIA verbindlich in den Vertrag aufgenommen wird. Die „Privilegierung“ durch TADPF endet, wenn nach Ablauf der Selbstzertifizierung keine Re-Zertifizierung erfolgt. Daher sollte zum einen der vorstehend genannte Mechanismus auch für diesen Fall gewählt werden. Zudem sollte der Dienstleister die Absicht, die Zertifizierung nicht zu verlängern, frühzeitig mitteilen müssen. Da eine nicht vorgenommene Rezertifizierung anders als der Bestand von TADPF allein im Einflussbereich des entsprechenden US-Unternehmens liegt, wäre ein Sonderkündigungsrecht eine denkbare und in vielen Fällen angemessene vertragliche Regelung, die in Betracht zu ziehen ist.
V. Das folgt für bereits bestehende Vertragsverhältnisse mit US-Bezug
Wenn in bestehenden Vertragsverhältnissen die EU-Standardvertragsklauseln ohne Vorbehalt, dass dies nur für den Fall einer fehlenden Angemessenheit des Datenschutzniveaus gilt, vereinbart sind und ein TIA durchgeführt wurde, besteht grds. kein Handlungsbedarf. Ein Abschluss von Verträgen unter Einbeziehung der Standardvertragsklauseln bleibt von dem Angemessenheitsbeschluss unberührt. Es kann allerdings sein, dass ein US-Unternehmen, das auf der „Data Privacy Framework List“ steht, eine Anpassung des Vertrags fordert. Ob Sie dem nachkommen wollen, ist letztendlich Ihre Entscheidung, wir empfehlen aber weiterhin, eine Rückfallposition wie unter Ziffer III. beschrieben, vorzusehen.
Wenn in bestehenden Vertragsverhältnissen die EU-Standardvertragsklauseln unter dem Vorbehalt eines fehlenden Angemessenheitsbeschlusses stehen, müssen Sie ebenfalls nicht von sich aus tätig werden, da der Vertrag schon die relevanten Vorkehrungen vorsieht. Je nach Formulierung der entsprechenden Klausel bedeutet dies lediglich, dass die EU-Standardvertragsklauseln nicht (mehr) in das Vertragsverhältnis einbezogen sind, sobald das betreffende US-Unternehmen auf der „Data Privacy Framework List“ steht.
Für bestehende Vertragsverhältnisse, die nach bisher geltendem Recht(sverständnis) nicht den Anforderungen der Artt. 44ff. DSGVO entsprechen, „heilt“ TADPF zwar nicht etwaige Verstöße in der Vergangenheit, ab dem Zeitpunkt der Nennung der betreffenden US-Unternehmen auf der „Data Privacy Framework List“ besteht aber nicht (mehr) die Erforderlichkeit des Abschlusses der EU-Standardvertragsklauseln. Ob ein Unternehmen, das bisher nicht den Prozess des Abschlusses der EU-Standardvertragsklauseln und der Mithilfe bei der Erstellung von TIAs mitgemacht hat, eine Selbstzertifizierung durchführt, kann man jedoch durchaus bezweifeln.
In allen Fällen gilt, dass Sie ggf. Ihre Datenschutzerklärungen, die noch Ausführungen zum Abschluss von EU-Standardvertragsklauseln beim Einsatz von US-Dienstleistern enthalten, anpassen müssen.
VI. Vorsicht bei Datentransfers mit weiteren „Drittländern“
Die USA sind in der öffentlichen Diskussion häufig der Aufhänger, wenn es um EU-Standardvertragsklausel und TIA geht. Dabei wird gerne übersehen, dass z.B. auch Subunternehmen mit Sitz in anderen Drittländern ohne angemessenes Datenschutzniveau erfolgen. Die Erforderlichkeit des Abschlusses von EU-Standardvertragsklauseln und die Durchführung eines TIA in Bezug auf diese Dienstleister ändert sich mit TADPF nicht. Prüfen Sie daher bestehende und neu abzuschließende Verträge immer darauf, ob Datenübermittlungen in solche Drittländer erfolgen.
VII. Fazit
TADPF erleichtert den Datenverkehr mit den USA. Es bleibt zu hoffen, dass TADPF diesmal einer Prüfung durch den EuGH, die mit Sicherheit kommen wird, standhält. Für Fragen und die Umsetzung in Ihren Verträgen und Datenschutzerklärungen stehen wir natürlich gerne bereit.
Ihre Experten für Datenschutzrecht
Gerhard Deiters, Rechtsanwalt und Partner
Telefon: +49 221 / 270 956 – 160, E-Mail: gerhard.deiters@bho-legal.com
Dr. Matthias Lachenmann, Rechtsanwalt und Partner
Telefon: +49 221 / 270 956 – 180, E-Mail: matthias.lachenmann@bho-legal.com