Für viele Verarbeiter personenbezogener Daten stellen Datentransfers in Drittstaaten (= Staaten außerhalb des DSGVO-Geltungsbereichs) eine wichtige Baustelle zur Erreichung von Datenschutz-Compliance dar. Insbesondere die verstärkte Nutzung von US-Cloud-Systemen trägt hierzu bei. So treffen Unternehmen, welche Microsoft 365 einsetzen, zusätzliche Pflichten bei der Gewährleistung der Datenschutzkonformität bei der eigenen Datenverarbeitung, da ein Drittlandtransfer an die Microsoft US-Server vorliegt.
Die Prüfung im Sinne der DSGVO erfolgt in zwei Stufen:
Zunächst ist auf der ersten Stufe festzustellen, ob die Datenverarbeitung per se, also unabhängig von den Besonderheiten des Drittstaatenbezugs, datenschutzkonform ist.
Erst im zweiten Schritt stellen sich dann die für Drittlandtransfers geltenden Besonderheiten aus den Art. 44 ff. DSGVO. Eine zulässige Datenübermittlung kann dabei entweder auf einen Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 Abs. 3 DSGVO, auf das Vorliegen geeigneter Garantien gem. Art. 46 DSGVO oder auf die Ausnahmetatbestände nach Art. 49 DSGVO gestützt werden.
Für die Praxis ist die Bedeutung eines Angemessenheitsbeschlusses enorm:
Drittlandtransfers auf Grundlage eines solchen Beschlusses bedürfen keiner aufsichtsbehördlichen Genehmigung durch die nationale Aufsichtsbehörde oder anderweitiger Beachtung von Besonderheiten neben den für jede Verarbeitung geltenden Vorschriften.
Spätestens seit dem Schrems II-Urteil im Juli 2020 liegt für die USA kein Angemessenheitsbeschluss mehr vor, weshalb der praxisrelevante US-EU Datentransfer datenschutzrechtlich nur noch mit einem hohen Aufwand datenschutzrechtskonform möglich ist.
Am 16. Juli 2020 hatte der EuGH mit diesem Urteil den Angemessenheitsbeschluss der EU-Kommission über das EU-US Privacy Shield für ungültig erklärt. Schon zuvor hatte der EuGH im Jahre 2015 die Safe-Harbor-Entscheidung der EU Kommission verworfen, wonach dann das EU-US Privacy Shield als notwendiger Ersatz etabliert wurde.
Für den US-Datentransfer besteht nun aber wieder Hoffnung:
Am 25. März 2022 veröffentlichten die EU-Kommission und die USA eine gemeinsame Erklärung zu einem neuen „transatlantischem Datenschutzrahmen“ (Gemeinsame Erklärung zum Transatlantischen Datenschutzrahmen (europa.eu); Questions & Answers: EU-U.S. Data Privacy Framework (europa.eu)).
In dieser Erklärung greifen EU-Kommission und USA die Bedenken des EuGH nun auf. Der Nachfolger des EU-US Privacy Shield soll die vom EuGH beanstandeten Unzulänglichkeiten schließen.
Nachdem US-Präsident Biden im Oktober eine Durchführungsverordnung unterzeichnet hatte, um die Vereinbarungen des „transatlantischen Datenschutzrahmen“ in nationales Recht umzusetzen, hat die EU-Kommission am 13. Dezember 2022 einen Entwurf eines Angemessenheitsbeschlusses für EU-US Datentransfers veröffentlicht (Adequacy decision for the EU-US Data Privacy Framework | European Commission (europa.eu)).
Der Entwurf liegt nun zur Stellungnahme dem Europäischen Datenschutzausschuss (EDSA) vor. Es wird auf dessen baldige Stellungnahme gehofft. Wann der Angemessenheitsbeschluss dann ggf. tatsächlich in Kraft treten wird, ist noch unklar und hängt davon ab, wie der EDSA den Entwurf bewerten und ob das Europäische Parlament im Rahmen seiner Kontrollbefugnis Beanstandungen äußern wird.
Es kann gegenwärtig aber wohl davon ausgegangen werden, dass noch in der ersten Hälfte 2023 die Verabschiedung des Beschlusses möglich ist. Bis dahin müssen sich Verantwortliche noch um die Gewährleistung von Datenschutzkonformität bei US-Transfers bemühen, etwa durch Vereinbarung von Standardvertragsklauseln.
Praxistipp: Um geeignete Maßnahmen gegen Risiken im Zusammenhang mit Drittlandtransfers zu ergreifen, empfehlen wir, die vom Europäischen Datenschutzausschuss veröffentlichte Empfehlungen 01/2020 (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data) zu berücksichtigen.