Data Privacy Framework Agreement: Was Du wissen musst

Um das Thema Data Privacy Framework Agreement kommt man aktuell kaum herum: Zu sehr wird der Beschluss der EU-Kommission zur Zeit diskutiert. Der Beschluss zwischen den USA und der EU sollte eigentlich dafür sorgen, dass nun die Datenübermittlung zwischen den beteiligten Staaten sicherer und einfacher wird.

Nur mit einem Angemessenheitsbeschluss gilt die Übermittlung personenbezogener Daten in Drittstaaten als sicher. Doch daran gibt es nach wie vor Zweifel - insbesondere rechtliche. Was genau das Data Privacy Framework Agreement ist, was es regelt und welche Kritik es zuweilen gibt, zeigen wir Dir in diesem Beitrag.

Du benötigst Unterstützung bei der Umsetzung des Datenschutzes in Deinem Unternehmen? Unser Team besteht aus Juristen, Datenschutzbeauftragten, Auditoren, IT-Sicherheitsberatern und Risk Managern, die im gesamten Bundesgebiet und in Luxemburg für Dich tätig werden. Als spezialisierte Unternehmensberater unterstützen wir Dich ganzheitlich bei den Themen Datenschutz, IT-Recht und Cybersicherheit. Komm gern jederzeit für ein unverbindliches Erstgespräch auf uns zu.

• Das Data Privacy Framework Agreement ist ein Angemessenheitsbeschluss, der es ermöglicht, personenbezogene Daten in die USA zu übermitteln. 
• Der Beschluss gilt seit dem 10.07.2023 zwischen dem EWR-Raum und den USA. 
• Damit geht der Angemessenheitsbeschluss in die dritte Runde: Nach zwei Niederlagen vor dem EuGH ist dies ein neuer Versuch der EU-Kommission, Datenübermittlungen möglich zu machen.
• Es liegen Klagen vor. So hat der französische Abgeordnete Philipp Latombe in einer Pressemitteilung mitgeteilt, dass er Klage beim EuGH erhoben hat.
•  Ob der Beschluss halten wird, ist fraglich.

Bei dem EU-US Data Privacy Framework Agreement, auch Privacy Shield 2.0 oder Privacy Framework genannt, handelt es sich um ein Abkommen zwischen der Europäischen Union und den USA, um einen sicheren Datenaustausch zu gewährleisten.

Der Beschluss trat am 10. Juli 2023 durch die EU-Kommission in Kraft und soll dafür sorgen, dass die Übermittlung personenbezogener Daten aus den EU-Mitgliedern in die Vereinigten Staaten nun datenschutzkonform (nach der EU weit geltenden DSGVO) möglich wird.

Das ist insbesondere für international agierende Unternehmen und Dienstleister wichtig, denn durch einen solchen Angemessenheitsbeschluss, den das Agreement darstellt, entfallen ansonsten notwendige zusätzliche Datenschutz-Garantien. Betroffen von der neuen Regelung sind unter anderem auch große Dienstleister wie Google Analytics, die durch verschiedene Angebote mit Unternehmen (B2B) tätig sind. 

Durch Inkrafttreten der DSGVO wurde es notwendig, dass die Mitglieder des Europäischen Wirtschaftsraums (EWR) personenbezogene Daten nur dann in einen Drittstaat übermittelt werden sollen, dürfen, wenn dieser ein angemessenes Datenschutzniveau gewährleistet, was demjenigen der DSGVO gleichzusetzen ist (Art. 45 DSGVO).

Ein solches Datenschutzniveau kann am Einfachsten dadurch belegt werden, dass die EU-Kommission mit dem jeweiligen Drittstaat einen Angemessenheitsbeschluss erlassen hat, der den Datenschutz im betreffenden Land bestätigt. Andernfalls ist es notwendig, dass andere Maßnahmen durch das übermittelnde Unternehmen oder eine zuständige Behörde getroffen werden oderund eine gesonderte Genehmigung eingeholt wird.

In einigen Fällen können Garantien bestehen, für die keine besondere Genehmigung durch eine Aufsichtsbehörde erforderlich ist (Art. 46 Abs. 2, 3 DSGVO).

Gut zu wissen: Zum EWR gehören die 27 Mitglieder der EU, aber auch Island, Liechtenstein und Norwegen. Zu den Drittstaaten, die bereits per Angemessenheitsbeschluss als sichere Staaten gelistet sind, zählen: Andorra, Argentinien, Kanada, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Südkorea, Uruguay und das Vereinigte Königreich (UK).

Nachdem 2015 und 2020 die ersten Privacy Shield Abkommen mit den USA vom  EuGH als unzulässig erklärt worden waren, war zwischen der EU und den USA ein solcher Beschluss nicht mehr gültig.

Die kurze Antwort lautet: Ja. Nachdem der EuGH die ersten beiden Abkommen für unzulässig erklärt hatte, galt die USA wieder als unsicherer Staat ohne ausreichendes Datenschutzniveau. Doch seit dem 10. Juli dieses Jahres ist nun klar: die Datenübertragung in die USA ist nun wieder als sicher einzustufen., soweit die Unternehmen zertifiziert sind.

Momentan ist das die aktuelle Rechtslage, auf die sich Unternehmen nun auch wieder verlassen können. Die Kommission hat entschieden, dass die USA ein angemessenes Schutzniveau bieten und daher EU-Unternehmen personenbezogene Daten ohne weitere Genehmigungen an Unternehmen in den Vereinigten Staaten übermitteln dürfen. Allerdings gibt es viel Kritik am Privacy Shield 2.0 und es bleibt abzuwarten, ob der EuGH nicht noch einmal den Beschluss aufhebt. Bis dahin ist die Datenübermittlung jedoch möglich. 

Achtung: Das gilt nur für Unternehmen, die sich am EU-US-Datenschutzrahmen beteiligen. Es bleibt demnach zu prüfen, ob das US-Unternehmen, welches die Daten empfängt, auch von der Datenschutzbehörde zertifiziert wurde und damit ein sicherer Partner ist. Hierfür wurde eine eigene Data Privacy Framework List auf der Website des Handelsministeriums der Vereinigten Staaten (U.S. Department of Commerce) ins Leben gerufen.

Anders als der Angemessenheitsbeschluss mit dem Vereinigten Königreich (dieser ist bis 2025 terminiert), gibt es für das Data Privacy Framework Agreement kein “Ablaufdatum”. Das Abkommen gilt daher auf unbestimmte Zeit.

Allerdings wird der Beschluss immer wieder kritisiert. Nicht nur von behördlicher Seite gibt es immer wieder Kritik, die beiden Vorgänger des Datenschutz-Abkommens wurden in den Jahren 2015 und 2020 bereits zweimal vom EuGH gekippt.

Grund waren die Klagen Schrems I und Schrems II, die nach dem Kläger Max Schrems benannt sind. Dieser hat auch nun wieder angekündigt, Klage einzureichen. Er ist dabei zuversichtlich, auch diesmal Erfolg zu haben und das Agreement zu Fall zu bringen. 

Unternehmen ist daher nur zu raten, wenn möglich, auf innereuropäische Lösungen und Unternehmensbeziehungen zu setzen. Denn diese sind in jedem Fall nach DSGVO-Standard und werden nicht von einer möglichen Klage betroffen sein. 

1. Werden Daten in die USA exportiert? Zunächst muss festgestellt werden, ob überhaupt personenbezogene Daten in die USA übertragen werden. Darüber hinaus ist auch zu schauen, ob diese Daten ausschließlich an zertifizierte Unternehmen gelangen und in den entsprechenden Datenkategorien (HR/Non-HR) mitumfasst sind, denn nur diese sind von dem neuen Abkommen umfasst.

2. Zertifizierung regelmäßig prüfen: Eine Zertifizierung der US-Unternehmen muss regelmäßig neu erfolgen. Datenexporteure sollten daher prüfen, ob das Unternehmen die Zertifizierung erneut hat und damit weiterhin als Empfänger personenbezogener Daten in Betracht kommt.

3. Datenschutzerklärung anpassen: Auch wenn die USA nun als “sicheres Empfängerland” gilt, müssen Betroffene in der Datenschutzerklärung über den Export ihrer Daten informiert werden. Es ist zudem auf das konkrete Land und den geltenden Angemessenheitsbeschluss hinzuweisen (Art. 13, 14 DSGVO). 

Steht ein US-Unternehmen nicht auf der Liste des U.S. Department of Commerce, ist die Datenübermittlung an den rechtlichen Erfordernissen zu prüfen, die für Drittstaaten ohne Angemessenheitsbeschluss gelten.

Nach Art. 46 DSGVO kann ein Datentransfer zulässig sein, sofern geeignete Garantien zum Schutz der Daten durch den Empfänger geboten sind (z. B. Standardvertragsklauseln). Ausnahmen nach Art. 49 Abs. 1 DSGVO sind zu berücksichtigen.

Vor dem Datentransfer müssen auch die Voraussetzungen für eine rechtmäßige Datenverarbeitung nach der DSGVO erfüllt sein. So muss etwa die Einhaltung der Grundsätze nach Art. 5 DSGVO nachgewiesen werden können. Zudem müssen die Voraussetzungen einer Rechtsgrundlage für die konkrete Verarbeitung nach Art. 6 oder Art. 9 DSGVO müssen vorliegen. 

Nachdem mit den Klagen Schrems I und Schrems II bereits zwei Mal ein Angemessenheitsbeschluss zwischen der EU und der USA gescheitert sind, versucht die EU-Kommission es nun erneut.

Der neue Beschluss bietet zwar zunächst Rechtssicherheit, ob diese jedoch von Dauer sein wird, ist fraglich. Viele Kritiker, aber auch Behörden gehen davon aus, dass auch dieses Abkommen dem EuGH und Max Schrems zum Opfer fallen werden. Für eine Entscheidung braucht der Europäische Gerichtshof um die 2 Jahre. Bis dahin ist eine Datenübermittlung in die USA zumindest möglich.

Dennoch sollten Unternehmen wissen, dass die Möglichkeit besteht, dass der Beschluss erneut aufgehoben wird und vorbereitet sein. Oder, was vorzuziehen wäre: Direkt auf europäische Partner setzen, um eine Datenübermittlung in Drittstaaten gänzlich zu vermeiden. 

Gerne beraten wir Dich zu den Möglichkeiten im Bereich Datenschutz und IT-Sicherheit. Unser Team unterstützt gerne umfassend in diesen Bereichen und berät mit juristischer sowie technischer Fachkompetenz. Vereinbare jetzt ein unverbindliches Erstgespräch mit unseren Experten.