DSGVO USA: Jetzt sind US Anbieter doch wieder erlaubt!

von Rechtsanwalt Dr. Ronald Kandelhard

Update 1.9.2023: Grundlagen zur Zertifizierung vertieft und einige Hinweise für Schweizer nach dem neuen Schweizer Datenschutzgesetz eingefügt.

Neues Recht, US Anbieter wohl doch nicht mehr verboten!

Was habe ich, haben andere, haben viele, nicht alles geschrieben, publiziert, gepodcastet, gemahnt und informiert. Datenweitergabe in die USA – ein schier endloses Kapitel nach der DSGVO:

• erst gab es Safe Harbour,
• dann hat der EuGH dieses Abkommen im Oktober 2015 für unwirksam erklärt,
• dann gab es privacy shield (näher dazu unser Blogpost hier), bei dem hier immer davon ausgegangen wurde, dass es einer rechtlichen Prüfung nicht standhalten wird,
• so war es denn auch, mit EuGH Urteil vom 16. Juli 2020 wurde auch privacy shield für unwirksam erklärt (dazu unser Blogpost hier),
• und nun nach einigem hin- und her siehe da: das neue Datenschutzabkommen EU-U.S. Data Privacy Framework wurde verabschiedet.

Somit können wir wieder ganz einfach und rechtssicher Daten in die USA versenden. Oder, etwa doch nicht?

1. Der Datenverkehr in die USA wieder im „sicheren Hafen“?

Die Details haben wir bereits in den oben verlinkten Blogosts dargelegt, deshalb nur so viel: Nach Art. 45 Abs. 1 DSGVO dürfen private Daten von EU-Bürgern nur dann in ein Land außerhalb der Europäischen Union exportiert werden, wenn der Datenschutz in dem Zielland gleichwertig zu dem in der EU ist. Das ist für einige Staaten wie z.B. die Schweiz oder Neuseeland recht unangefochten festgestellt, nur bei der Anerkennung der für den internationalen Datenverkehr wichtigsten Nation, den USA, gibt es dieses endlose Hin und Her.

Die Entscheidung über die Gleichwertigkeit trifft die EU-Kommission, aber die Entscheidung ist eben gerichtlich überprüfbar. Wie in der Einleitung dargelegt, musste der EuGH zweimal feststellen, dass der Datenschutz in den USA eben nicht wirklich gleichwertig ist und damit zweimal die entsprechende Gleichwertigkeitsentscheidung der EU-Kommission kassieren.

Hintergrund war vor allem der sog. Patriot Act in den USA. Dieses Gesetz gibt den US-Geheimdiensten weitgehende Befugnisse, von US-Unternehmen dort gespeicherte personenbezogene Daten abzufordern, ohne dass ein hinreichender Anlass vorliegen muss. Zudem gibt es dagegen auch kaum Rechtsmittel der US Unternehmen oder gar betroffener Nicht-US-Bürger. Das war der Grund, warum der EuGH zweimal entschied, dass der Datenschutz in den USA nicht mit dem EU-Grundrecht auf Datenschutz vereinbar ist. Deshalb wurden privacy shield und safe harbour für Unwirksamkeit erklärt.

Für die Nutzer von US-Diensten war das immer mit großen Unsicherheiten verbunden, denn nicht alle Dienste lassen sich ohne weiteres gegen europäische Dienste austauschen und bei vielen ist eine Migration auch mit erheblichem Aufwand verbunden (z.B. Newsletter Anbieter).

2. Und was ist jetzt neu, dass es auf einmal wieder zu einem neuen Angemessenheitsbeschluss gekommen ist?

Tatsächlich gab es bereits vor dem neuen Angemessenheitsbeschluss eine präsidiale Verordnung, die in den USA Gesetzeskraft hat. Es handelt sich um die Verordnung des US-Präsidenten Joe Biden vom 7.10.2022 „Executive Order On Enhancing Safeguard For United States Signals Intelligence Activities”). Wer sich genauer mit ihrem Inhalt beschäftigt wird feststellen, dass hierin deutliche Einschränkungen der Weitergabe von personenbezogenen Daten von Nicht-US-Bürgern an die Geheimdienste und weitere aus der Sicht des Datenschutzes wichtige Rechtsgarantien eingeführt wurden.

Das ist tatsächlich eine Neuigkeit. Ob Safe Harbour oder Privacy Shield, beide enthielten kaum mehr als Absichtserklärungen der US-Seite. Jetzt sind dagegen gesetzliche Schutzregeln erlassen worden. Das Argument einer mehr oder weniger ungeschützten Weitergabe an Geheimdienste, das der EuGH in den ersten beiden Urteilen feststellen musste, gilt so nicht. Juhu fragst Du, kann ich US Dienste also wieder problemlos verwenden?

3. Ja, durch dem neuen Angemessenheitsbeschluss der EU-Kommission sollte erst mal Ruhe eingekehrt sein

Dadurch, dass die EU-Kommission am 10.07.2023 erneut einen dritten Angemessenheitsbeschluss erlasen hat, kannst du vorerst abmahnsicher Daten in die USA versenden. Um die Bedenken des Europäischen Gerichtshof auszuräumen, wurden neue verbindliche Garantien eingeführt. Diese Garantien sind:

1. den Zugriff von US-Geheimdiensten auf EU-Daten auf ein notwendiges und verhältnismäßiges Maß zu beschränken
2. und das Aufbauen eines speziellen Gerichts zur Prüfung der Datenschutzmaßnahmen geschaffen wird. Das sogenannte Data Protection Review Court, DPRC, zu dem Einzelpersonen in der EU Zugang haben.

Außerdem soll die Funktionsweise des Datenschutzrahmens EU-USA regelmäßig gemeinsam von der Europäischen Kommission und Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden überprüft werden.

Die erste Überprüfung soll binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses erfolgen, um zu ermitteln, ob alle einschlägigen Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.

4. Achtung: Weitergabe nur an zertifizierte US-Unternehmen  

Zudem müssen US-Unternehmen nach dem EU-US Data Privacy Framework zertifiziert sein, damit Du die Daten auf Grundlage des neuen Angemessenheitsbeschlusses übermitteln kannst. Die Liste mit den zertifizierten Unternehmen findest du hier. Diese Selbstzertifizierung verlangt, dass ein Unternehmen eine Reihe von Unterlagen einreicht. Sind diese vollständig, wird es in die DPF (kurz für “Data Privacy Framework”) Liste aufgenommen und gilt als selbst zertifiziert nach den Voraussetzungen des neuen Datenschutzrahmens.

5. Was ist, wenn ein Tool nicht zertifiziert wurde? Kann ich dann trotzdem Daten dorthin übermitteln?

Viele wichtige Unternehmen wie z.B. Google oder Amazon befinden sich bereits auf der Liste der zertifizierten Unternehmen. Wenn du jedoch Daten an ein Unternehmen, welches nicht zertifiziert ist, übermitteln möchtest, dann ist das nicht auf Grundlage des Angemessenheitsbeschluss möglich.

Jedoch gibt nach derzeitiger Rechtslage (näher dazu hier) grundsätzlich die Möglichkeit, personenbezogene Daten Deiner Nutzer und Kunden aufgrund eines Vertrages nach den sog. Standardvertragsklauseln gem. Art. 46 DSGVO an nicht zertifizierte Unternehmen zu exportieren.

6. Die Standardvertragsklauseln

Die Standardvertragsklauseln gehen zurück auf einen Beschluss der EU-Kommission (ABl. L 199 vom 7.6.2021). Danach kannst Du mit Deinem Anbieter in den USA einen solcher Vertrag für die Übermittlung personenbezogener Daten an Auftragsverarbeiter abschließen. Den Text findest Du in dem verlinkten Beschluss. Du darfst ihn nicht wesentlich verändern. Zudem findest Du diesen Vertrag im Mitgliederbereich zu unserem Datenschutz Generator als Muster auf Englisch mit weiteren Ausfüllhinweisen.

Der Vertrag muss grundsätzlich ausgedruckt und a den Anbieter gesendet werden, der ihn dann unterzeichnet zurücksendet. Erst wenn dieser Vertrag unterzeichnet ist, ist die Weitergabe von Daten an diesen Anbieter zulässig, auch wenn er in einem nicht sicheren Drittland ansässig ist. Inzwischen ist zudem klargestellt, dass die Standardvertragsklauseln auch elektronisch, also in einer dauerhaft speicherbaren Form abgeschlossen werden können. Viele US-Anbieter bieten die Standardvertragsklauseln unmittelbar an. Suche nach „standard contractual clauses“. Vielleicht hast Du Glück und Dein Anbieter bietet diese an, ansonsten stellt es für die Unternehmen aber auch keinen großen Aufwand dar, sich zertifizieren zu lassen.

7. Wie geht es weiter? Kann dieser Angemessenheitsbeschluss nicht auch einfach wieder für ungültig erklärt werden?

Die EU-Kommission hat den neuen Angemessenheitsbeschluss am 10. Juli 2023 verabschiedet. Solange dieser in Kraft ist, besteht in den USA formell ein angemessenes Datenschutzniveau. Datenübermittlungen in die USA sind aus datenschutzrechtlicher Sicht folglich nicht zu beanstanden. Es bleibt jedoch abzuwarten, ob der neue Angemessenheitsbeschluss einer Überprüfung durch den EuGH standhalten wird.

Auch wenn sich das Datenschutzniveau in den USA durch das EU‑U.S. Data Privacy Framework verbessert, ist ein zukünftiges Scheitern des Angemessenheitsbeschlusses vor dem EuGH nicht auszuschließen.

Bereits jetzt gibt es deutliche Kritik von Datenschutzaktivisten und Max Schrems steht sozusagen wieder in den Startlöchern. Denn es ist weiterhin fraglich, in wie weit die USA die Garantien umsetzt und ob diese Umsetzung dann auch im Sinne der EU ist. Wie du siehst, bleibt es trotz neuem Abkommen spannend!

Es bleibt zu hoffen, dass die USA ihre Versprechen einhält und dieser Angemessenheitsbeschluss länger in Kraft bleibt als seine Vorgänger.

8. Ergebnis zur DSGVO USA

Diesmal könnte die fast unendliche Geschichte doch ein Ende gefunden haben. Mit der neuen Rechtslage in den USA kannst Du

• durch den neuen Angemessenheitsbeschluss und das Datenschutzabkommen EU-„U.S. Data Privacy Framework“ zwischen den USA und der EU

US-Dienste wieder verwenden. Dabei wird es voraussichtlich noch eine Weile bleiben, aber diesmal ist die Prognose für das künftige EuGH Urteil jedenfalls besser als zuvor.

Für alle Kunden von easyRechtssicher gilt natürlich: Wir haben die Muster zu US Diensten an die neue Rechtslage angepasst, sie erscheinen automatisch auch in Deiner Datenschutzerklärung, soweit Du eine unserer vielen Automationen nutzt. Wenn nicht, generieren Deine Datenschutzerklärung jetzt am besten neu und füge sie in Deine Website ein.

Mehr über die DSGVO erfährst du hier.

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.