Datenübermittlung in die USA

Am 10.07.2023 hat die Europäische Kommission den Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA – EU-U.S. Data Privacy Framework (EU-U.S. DPF) – angenommen. Datenexporteure aus der EU haben jedoch zu beachten, dass kein generelles angemessenes Datenschutzniveau für Übermittlungen an Organisationen in den USA vorausgesetzt werden kann. Sie müssen zunächst vorab prüfen und sicherstellen, dass die Organisation, an die übermittelt wird, unter dem EU-U.S. DPF zertifiziert ist. Andernfalls sind weitere Übermittlungsinstrumente oder zusätzlichen Maßnahmen erforderlich. Eine Liste der zertifizierten Stellen ist auf der Website des U.S. Department of Commerce veröffentlicht.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 04.09.2023 Anwendungshinweise zum EU-U.S. DPF veröffentlicht. Die Anwendungshinweise enthalten Informationen für die Datenexporteure, also die Verantwortlichen und Auftragsverarbeiter, die Daten in die USA übermitteln möchten. Andererseits informiert es betroffene Personen darüber, welche Rechtsschutz- und Beschwerdemöglichkeiten sie haben.

Nachdem bereits die vorangegangenen Angemessenheitsbeschlüsse der Europäischen Kommission („Safe Harbor-Abkommen“ und „EU-US Privacy Shield“) gerichtlich überprüft wurden, ist damit zu rechnen, dass der Europäische Gerichtshof auch über die Rechtmäßigkeit der EU-U.S. DPF entscheiden wird.

Beschwerdemöglichkeit

Wenn Sie der Meinung sind, dass ein unter dem EU-U.S. DPF zertifiziertes US-Unternehmen, an welches Ihre Daten übermittelt worden sind, gegen seine Pflichten aus dem EU-U.S. DPF verstoßen hat oder die Rechte, die Ihnen nach dem EU-U.S. DPF zustehen, verletzt hat, können Sie sich mit Ihrer Beschwerde direkt an den LfDI Rheinland-Pfalz wenden. Bitte nutzen Sie dafür das von den Datenschutzbehörden der EU-Mitgliedstaaten entwickelte Beschwerdeformular und senden Sie dieses an poststelle(at)datenschutz.rlp.de. So wird sichergestellt, dass alle Informationen, die für eine sinnvolle Bearbeitung Ihres Anliegens nötig sind, zur Verfügung stehen. Sie können das Formular auch dann nutzen, wenn es noch um Übermittlungen unter dem Vorgängerabkommen EU-U.S. Privacy Shield geht.
Zuständig für die Beratung von U.S.-Unternehmen bei ungelösten DPF-Beschwerden von Privatpersonen über den Umgang mit personenbezogenen Daten, die gemäß der DS-GVO aus der Europäischen Union übermittelt wurden, ist das Informelle Gremium der EU-Datenschutzbehörden. Die Arbeitsweise des Gremiums ist in einer Geschäftsordnung beschrieben.

Für Beschwerden mit Blick auf von Ihnen angenommene Zugriffe auf Ihre Daten durch US-amerikanische Geheimdienste oder Sicherheitsbehörden wurde vom Europäischen Datenschutzausschuss ein gesondertes Beschwerdeformular nebst ergänzenden Hinweisen erarbeitet.

Historie zu den Angemessenheitsbeschlüssen der EU-Kommission in Bezug auf die USA

In der Vergangenheit erfolgten Datentransfers von europäischen Unternehmen in die Vereinigten Staaten von Amerika (USA) zunächst auf Grundlage des Angemessenheitsbeschlusses zur sog. Safe Harbor-Vereinbarung zwischen der Europäischen Union (EU) und den USA aus dem Jahr 2000. Der Europäische Gerichtshof erklärte allerdings in seinem Urteil vom 6. Oktober 2015 (Rs. C-362/14, sog. Safe Harbor-Entscheidung) die Entscheidung der EU-Kommission, in der festgestellt worden war, dass die USA ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig.

Mit der Entscheidung der Europäischen Kommission (2016/1250) vom 12. Juli 2016 über den Angemessenheitsbeschluss zum sog. EU-U.S.-Privacy Shield stand seit dem 1. August 2016 eine neue Grundlage für Datenübermittlungen in die USA zur Verfügung. Der EU-U.S. Privacy Shield konnte wie schon Safe Harbor nicht für alle Übermittlungen personenbezogener Daten in die USA herangezogen werden, sondern bot eine Grundlage nur für Übermittlungen an solche U.S.-Unternehmen, die eine gültige Privacy-Shield-Zertifizierung besaßen.

Da die Entscheidungen der Europäischen Kommission bindend sind, konnte das EU-U.S. Privacy Shield trotz der von den Datenschutzbehörden geäußerten Kritik als Grundlage genutzt werden, um personenbezogene Daten aus Europa an solche U.S.-Unternehmen zu transferieren, die sich gemäß dem Privacy Shield zertifiziert hatten. Das U.S.-Handelsministerium führte die offizielle Liste der U.S.-Unternehmen, die eine Privacy-Shield-Zertifizierung erworben hatten. Unternehmen und andere Akteure aus der Europäischen Union, die auf Grundlage des Privacy Shield personenbezogene Daten in die USA übermitteln wollten, mussten darauf achten, dass das U.S.-Unternehmen, an das die Daten übermittelt werden sollten, auch tatsächlich in der oben genannten Liste des U.S.-Handelsministeriums eingetragen war. Ferner musste das datenexportierende (europäische) Unternehmen anhand des Listeneintrags auch überprüfen, ob die Zertifizierung die Kategorie von Daten umfasste, die übermittelt werden sollten (Beschäftigtendaten = „HR“ oder sonstige Daten, wie personenbezogene Kundendaten = „Non HR“).

Mit dem Urteil vom 16. Juli 2020 (C-311/18) erklärte der Europäische Gerichtshof die Angemessenheitsentscheidung der EU-Kommission zum EU-U.S. Privacy Shield ebenfalls für ungültig. Datenübermittlungen in die USA konnten mithin auch nicht mehr auf den EU-U.S. Privacy Shield gestützt werden. Verantwortliche und Auftragsverarbeiter mussten demnach auf andere Transferinstrumente des Kapitel V DS-GVO zurückgreifen. Standen keine anderen Transferinstrumente zur Verfügung und konnte auch kein Ausnahmetatbestand des Art. 49 DS-GVO herangezogen werden, musste die Datenübermittlung ausgesetzt werden. 
Am 10.07.2023 hat die Europäische Kommission den Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA – EU-U.S. Data Privacy Framework (EU-U.S. DPF) – angenommen und damit eine neue Grundlage für Datenübermittlungen in die USA geschaffen.

Weitere Informationen

  • Anwendungshinweise zum Angemessenheitsbeschluss der Europäischen Kommission zum Datenschutzrahmen EU‐USA (EU‐US Data Privacy Framework) vom 10. Juli 2023
  • Beschwerdeformular im Zusammenhang mit dem EU-U.S. Data Privacy Framework