EU-U.S. Data Privacy Framework
1. EU-U.S. Data Privacy Framework
Die Europäische Kommission hat am 10. Juli 2023 den Angemessenheitsbeschluss zum sog. EU-U.S. Data Privacy Framework (EU-U.S. DPF) gefasst. Der EU-U.S. DPF liefert eine vergleichsweise einfache Möglichkeit, personenbezogene Daten in die USA zu übermitteln, allerdings nur an solche US-Unternehmen, die auf der offiziellen Liste zum EU-U.S. DPF mit einer als „aktiv“ („active“) gekennzeichnete Zertifizierung aufgeführt sind. Die Liste wird beim US-Handelsministerium (Department of Commerce) geführt. Die aktive Zertifizierung gibt an, dass sich das betreffende US-Unternehmen zur Einhaltung bestimmter Datenschutzgrundsätze verpflichtet, die im EU-U.S. DPF näher ausgeführt sind. Für betroffene Personen, deren Daten aus der EU übermittelt wurden, stehen in diesem Zusammenhang zudem bestimmte datenschutzrechtliche Rechtsschutzmöglichkeiten zur Verfügung.
Der Angemessenheitsbeschluss zum EU-U.S. DPF bestätigt rechtsverbindlich, dass die auf der offiziellen Liste zum EU-U.S. DPF enthaltenen US-Unternehmen über ein angemessenes Niveau zum Schutz der aus der EU übermittelten personenbezogenen Daten verfügen.
Seit der Veröffentlichung des Angemessenheitsbeschlusses können wieder personenbezogene Daten aus der Europäischen Union an die in der Liste (als „active“ gekennzeichneten) US-Unternehmen übermittelt werden, ohne dass andere Übermittlungsinstrumente (z.B. Standardvertragsklauseln) oder zusätzliche Maßnahmen benötigt wären.
Personen, deren Daten aus der Europäischen Union auf Grundlage des EU-U.S. DPF in die USA übermittelt wurden, können eine Reihe von Rechten bezogen auf diese Daten ausüben, darunter Rechte auf Auskunft über ihre übermittelten Daten, auf Berichtigung sowie auf Löschung unrichtiger oder unrechtmäßig verarbeiteter Daten. Die betroffenen Personen haben zudem in diesem Zusammenhang bestimmte Rechtsschutzmöglichkeiten, darunter unentgeltliche unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle.
Für die Datenübermittlung in andere Drittländer sowie an US-Unternehmen, die keine aktive Zertifizierung unter dem EU-US DPF besitzen, gelten unverändert die herkömmlichen Anforderungen und Prüfpflichten aus der DSGVO einschließlich aus dem sog. „Schrems II“-Urteil des EuGH (Urteil vom 16. Juli 2020, Rs. C-311/18); dazu ist auf die Empfehlungen 01/2020 des Europäischen Datenschutzausschusses hinzuweisen.
Durch den neuen Angemessenheitsbeschluss zum EU-U.S. DPF ist mit Blick auf Übermittlungen personenbezogener Daten in die USA zumindest vorübergehend mehr Rechtssicherheit geschaffen worden. Ob der Beschluss dauerhaften Bestand haben wird, bleibt abzuwarten. Es ist möglich, dass der Angemessenheitsbeschluss ähnlich wie seine Vorgänger „Safe Harbor“ und „EU-US Privacy Shield“ dem Europäischen Gerichtshof zur Prüfung vorgelegt werden wird.
Die Europäische Kommission hat weitere Informationen zum EU-U.S. DPF in einer Pressemitteilung veröffentlicht.
Zudem haben die deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) am 4. September 2023 Anwendungshinweise zum EU-U.S. DPF veröffentlicht.
2. Rechtsschutzmöglichkeiten für betroffene Personen im Einzelnen
Für betroffene Personen stehen unter dem DPF mit Blick auf ihre übermittelten Daten
Rechtsschutzmöglichkeiten zur Verfügung:
2.1 Beschwerden gegen zertifizierte US-Unternehmen
Wenn Sie der Auffassung sind, dass ein unter dem EU-U.S. DPF zertifiziertes US-Unternehmen, an welches Daten mit Bezug auf Ihre Person übermittelt worden sind, seine Verpflichtungen aus dem EUU.S. DPF nicht eingehalten hat oder Rechte, die Ihnen nach dem EU-U.S. DPF zustehen, verletzt hat, können Sie sich mit einer Beschwerde direkt an eine der Datenschutzbehörden der EU-Mitgliedstaaten wenden, darunter an das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Bitte nutzen Sie dafür das vom Europäischen Datenschutzausschuss (EDSA) entwickelte Beschwerdeformular und senden Sie dieses an das BayLDA; die Kontaktdaten des BayLDA finden Sie unter https://www.lda.bayern.de/de/kontakt.html; dort besteht auch die Möglichkeit einer OnlineBeschwerde, wobei in diesem Fall das Beschwerdeformular als PDF-Datei als Anhang hochzuladen ist.
Durch Verwendung des Beschwerdeformulars wird gewährleistet, dass alle Informationen, die für eine sinnvolle Bearbeitung Ihres Anliegens benötigt werden sind, zur Verfügung stehen. Das Beschwerdeformular können Sie im Übrigen auch verwenden, wenn es noch um Datenübermittlungen unter dem Vorgängerabkommen EU-US Privacy Shield geht.
Für die Bearbeitung bestimmter Beschwerden von Personen über den Umgang mit personenbezogenen Daten, die gemäß der DSGVO aus der Europäischen Union übermittelt wurden, ist das sog. Informelle Gremium der EU-Datenschutzbehörden zuständig. Die Arbeitsweise des Gremiums ist in einer Geschäftsordnung beschrieben.
Je nach Fallgestaltung kann es für die Bearbeitung erforderlich sein, dass das BayLDA die Beschwerde an das oben genannte Informelle Gremium der EU Datenschutzbehörden, an das betreffende USUnternehmen selbst oder aber an die für die Aufsicht über das EU-U.S. DPF auf US-Seite zuständigen US-Behörden weiterleitet. Nähere Informationen dazu finden Sie im Beschwerdeformular.
2.2.Beschwerden im Bereich der nationalen Sicherheit
Darüber hinaus können Personen aus der Europäischen Union Beschwerden mit Blick auf von ihnen
angenommene Zugriffe auf ihre Daten für Zwecke der nationalen Sicherheit durch US-amerikanische
Nachrichtendienste einlegen. Dieses Beschwerdeverfahren beruht auf US-amerikanischem Recht und
ist daher für Fälle gedacht, in denen eine Person annimmt oder für möglich hält, dass die USNachrichtendienste bei einem etwaigen Zugriff auf ihre Daten für Zwecke der nationalen Sicherheit gegen die hierfür geltenden Vorgaben des US-amerikanischen Rechts verstoßen hat.
Für solche Beschwerden nutzen Sie bitte das vom EDSA hierfür entwickelte gesonderte
Beschwerdeformular; beachten Sie für diese Art von Beschwerden bitte auch die weiterführenden
Hinweise des EDSA. Die vom EDSA verabschiedeten Verfahrensregelungen (Rules of Procedure) regeln
die Zusammenarbeit der Datenschutzbehörden und des EDSA-Sekretariats bei der Bearbeitung von
Beschwerden dieser Art.