Data Privacy Framework : Neuer Flicken für den Datentransfer in die USA
Die EU-Kommission hat am 10.07.2023 mit ihrem Beschluss C(2023) 4745 das „EU-US Data Privacy Framework“ (DPF) zum Leben erweckt und damit den Datentransfer von der EU zu einigen Unternehmen in den USA vereinfacht. Der Beitrag beleuchtet kurz und knapp, welche Vorteile Unternehmen aus dem DPF ziehen können und was in der Praxis zu beachten ist.
Aufgabe des EU-US Data Privacy Framework
Als demokratische und rechtsstaatliche Staatengemeinschaft legt die EU Wert auf einen regelbasierten Umgang mit personenbezogenen Daten. Ausgehend von der Erkenntnis, dass demokratische Teilhabe und ein Funktionieren des Rechtsstaates Datenschutzgesetze erforderlich machen, hatten die EU-Kommission, der Rat und das Parlament die Datenschutz-Grundverordnung (DS-GVO) konzipiert.
Um ein Umgehen der gesetzlichen Vorschriften zu verhindern, müssen dem Datenimporteur bei einem Datenexport in Staaten außerhalb des europäischen Wirtschaftsraumes („Drittländer“ genannt) wesentliche Regelungen aus der DS-GVO beispielsweise per Vertrag auferlegt werden. Diese Aufgabe übernehmen grundsätzlich die „EU-Standardverträge“. EU-Standardverträge sind von der EU-Kommission vorgegebene Vertragstexte, die ergänzt, aber nicht verändert werden dürfen.

Verträge binden lediglich die beteiligten Vertragsparteien. Die DS-GVO regelt jedoch nicht nur die Datenverarbeitung von Unternehmen, sondern auch von Behörden und Geheimdiensten. Da Behörden in Drittländern nicht der DS-GVO unterworfen sind, können diese Daten von EU-Bürgen in einer Art und Weise verarbeiten, die innerhalb der EU verboten wäre. Ausgehend von diesem Gedanken hatte der Europäische Gerichtshof (EuGH) in seinem berühmt gewordenen Urteil „Schrems II“ u. a. zusätzliche Prüfungen durch den Datenexporteur gefordert. Der Datenexporteur muss prüfen, ob das Rechtssystem im Empfängerland den Datenimporteuer daran hindert, die EU-Standardverträge einzuhalten. Eine solche Prüfung ist aufwendig und teilweise auch schwer ohne ein Hinzuziehen von Rechtsanwälten aus den Empfängerländern zu leisten.
Um solche Aufwände zu reduzieren, kann die EU-Kommission sogenannte „Angemessenheitsbeschlüsse“ erlassen (Art. 45 DS-GVO). Ein Angemessenheitsbeschluss besagt, dass das Datenschutzrecht im Empfängerland mit der DS-GVO vergleichbar ist. In der Folge müssen Unternehmen keine Prüfungen des Rechtssystems durchführen oder EU-Standardverträge abschließen.
Voraussetzung für einen Angemessenheitsbeschluss ist, dass das Empfängerland seine Datenschutzgesetze an den in Art. 45 DS-GVO genannten Kriterien ausrichtet. Das haben die USA auf Bundesebene bisher nicht gemacht. Deshalb ist der Weg zu einem vollumfänglichen Angemessenheitsbeschluss, wie er etwa für die Schweiz gilt, versperrt. Die Regierung der USA und die EU-Kommission haben sich auf eine andere Lösung verständigt. Unternehmen in den USA, die in den Genuss des DPF kommen wollen, müssen sich im Rahmen einer Selbstverpflichtung den Regelungen des DPF unterwerfen.
Anwendung in der Praxis
Um in den Genuss der Vorteile des DPF zu kommen, muss sich das US-Unternehmen verpflichten, das DPF einzuhalten.
Der Datenexporteur, d. h. das EU-Unternehmen, das Daten in die USA transferieren will oder das US-Unternehmen beauftragt, auf personenbezogene Daten in der EU zuzugreifen, muss prüfen, ob der Empfänger auf der Liste der selbstverpflichteten Unternehmen steht.

Dabei ist auch zu prüfen, ob die Selbstverpflichtung für die Datenarten gilt, die transferiert werden sollen. Hat sich das US-Unternehmen beispielsweise für Nicht-HR-Daten dem DPF unterworfen, dürfen Daten aus einer Arbeitszeiterfassung nicht transferiert werden.
Deckt die Selbstverpflichtung nicht alle Datenarten ab oder hat sich das US-Unternehmen nicht dem DPF unterworfen, ist ein EU-Standardvertrag zu schließen. Bei der Prüfung des Rechtssystems kann der Kommissionsbeschluss zum DPF prüfungserleichternd berücksichtigt werden.
Wann liegt ein Datenexport vor?
Häufig werben US-Firmen mit der Speicherung personenbezogener Daten in der EU. Dabei entsteht schnell der Eindruck, dass kein Datentransfer in die USA oder ein anderes Drittland stattfindet. Schaut man sich jedoch die Liste der Unterauftragsverarbeiter an, wird schnell klar, dass etwa die Softwareentwicklung und der Support aus den USA und anderen Drittländern auf die in der EU gespeicherten Daten zugreifen. Die Übertragung personenbezogener Daten von einem Gerät in der EU auf ein anderes Gerät außerhalb der EU stellt einen Datentransfer dar. Es ist unerheblich, ob die Daten lediglich angesehen oder auch verändert oder gespeichert werden sollen.
Grenzen des EU-US Data Privacy Framework
Das DPF kümmert sich um ein angemessenes Datenschutzniveau beim Datenempfänger. Dass ein angemessenes Datenschutzniveau vorliegt, bedeutet nicht, dass personenbezogene Daten auch übertragen werden dürfen. Vielmehr muss entweder eine Rechtsgrundlage nach Artt. 6, 9 oder 10 DS-GVO den Transfer erlauben oder der Empfänger muss ein Auftragsverarbeiter nach Art. 28 DS-GVO sein. Wenn keine Rechtsgrundlage den Transfer erlaubt, bleibt er verboten. Im Rahmen einer Auftragsverarbeitung nach Art. 28 DS-GVO entfällt die Notwendigkeit der Rechtsgrundlage für den Transfer.


Wenn der zwischen Auftraggeber und Auftragsverarbeiter geschlossene Vertrag die Anforderungen des Art. 28 DS-GVO nicht vollständig umsetzt, ist der Transfer allerdings ebenfalls unzulässig. Häufig versuchen Auftragsverarbeiter beispielsweise, die vertraglich dem Auftraggeber einzuräumenden Kontrollrechte (Art. 28 Abs. 3 lit. h) DS-GVO) in unzulässiger Weise zu beschneiden oder räumen keinen Weisungsvorbehalt bei einem Datentransfer in Drittländer – wie in Art 28 Abs. 3 lit. a) DS-GVO gefordert – ein.
Hinweis: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat zur Prüfung der Verträge auf Umsetzung von Art. 28 DS-GVO eine Checkliste veröffentlicht.
Risiken des EU-US Data Privacy Framework
Üblicherweise liegt einem Angemessenheitsbeschluss eine Gesetzgebung im Drittland zugrunde. Solange sich die Gesetze nicht von der DS-GVO entfernen, ist ein solcher Angemessenheitsbeschluss nicht gefährdet. Das DPF fußt teilweise auf einer Executive Order, d. h. auf einer internen Richtlinie der Regierung, die ein (zukünftiger) Präsident auch ändern oder zurücknehmen kann. Die Gültigkeit des Angemessenheitsbeschlusses hängt somit maßgeblich vom Verhalten zukünftiger US-Regierungen ab.
Die Non-Profit-Organisation NOYB hat bereits angekündigt, den Angemessenheitsbeschluss und damit das DPF gerichtlich prüfen zu lassen (Quelle: Heise Online (2023): Data Privacy Framework: Wie lange es halten wird – ein Report). NOYB wurde von Max Schrems mitgegründet, der schon die beiden Vorgänger des DPF, Safe Harbor und Privacy Shield, vor dem EuGH zu Fall brachte.
Es empfiehlt sich, insbesondere bei größeren Investitionen oder beim Aufbau von Abhängigkeit vom EU-US-Datentransfer, eine Alternative zum DPF einzuplanen. Die Entscheidung des EuGH gegen den Privacy Shield („Schrems II“) hatte auch Auswirkungen auf die damalige Version der EU-Standardverträge. Insofern bieten die EU-Standardverträge auch keine Sicherheit, dass sie auf jeden Fall einen Datentransfer ermöglichen.
Fazit
Mit dem EU-US Data Privacy Framework wird es insbesondere für Firmen in der EU wieder einfacher, Daten an US-Unternehmen zu übertragen. Die damit einhergehenden Prüfpflichten sind geringer als bei den EU-Standardverträgen. Gleichwohl bestehen Risiken, dass das DFP wie seine Vorgänger Safe Harbor und Privacy Shield als mehr oder weniger kurze Episode in die Geschichte des EU-US-Datentransfers eingeht.
Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH