Am 10. Juli 2023 verkündete die EU-Kommission, einen Angemessenheitsbeschluss für die USA erlassen zu haben. Ein solcher vereinfacht es personenbezogene Daten in ein Drittland, d.h. ein Land außerhalb der EU, zu transferieren. Datentransfers in Drittstaaten sind grundsätzlich mit hohen Hürden verbunden, denn das dort geltende Datenschutzniveau entspricht oft nicht den strengen Standards der DSGVO. Insbesondere das Schutzniveau in den USA, deren nationale Gesetze Aufsichtsbehörden erhebliche Zugriffsrechte ermöglichen, wurde in der Vergangenheit als nicht mit der EU vergleichbar beurteilt. Die zwei bisherigen Versuche der EU, datenschutzkonforme Übereinkommen mit den USA zu treffen scheiterten vor dem Europäischen Gerichtshof (EuGH): Sowohl das ›Safe-Harbour‹-Abkommen als auch das ›EU Data Privacy Shield‹ wurden in den so genannten Schrems I und II Entscheidungen für unwirksam erklärt.
Aller guten Dinge sind drei?
Zu dem neuen Hoffnungsträger, dem ›Trans-Atlantic Data Privacy Framework‹ bzw. dem ›EU-US Data Privacy Framework‹, berichteten wir bereits in unserem Blogbeitrag im Mai 2023. Der damals veröffentliche Entwurf wurde durch das EU-Parlament heftig kritisiert, das der Meinung war, die Anstrengungen der US-Regierung würden nicht ausreichen, ein gleichwertiges Schutzniveau zu schaffen. Es beanstandete insbesondere, dass die Rechte von EU-Bürgern nicht mit denen von US-Bürgern gleichgestellt worden und die Gefahr von Massenüberwachung durch US-Behörden nicht gebannt sei.
Für wen gilt das EU-US Data Privacy Framework?
Die EU-Kommission hat diese Bedenken des EU-Parlaments nicht ausgeräumt, sondern am 10. Juli 2023 einen Angemessenheitsbeschluss erlassen. Das bedeutet aber nicht, dass nun einfach sämtliche Datentransfers in die USA zulässig sind, denn US-Unternehmen müssen dem EU-US Data Privacy Framework durch eine freiwillige Selbst-Zertifizierung aktiv beitreten.
Beitrittsberechtigt sind Unternehmen, die den Ermittlungs- und Durchführungsbefugnissen der Federal Trade Commission (der ›FTC‹), des U.S. Department of Transportation (des ›DOT‹) oder einer anderen Behörde, die die Einhaltung der Grundsätze wirksam gewährleistet, unterliegen. Um beizutreten, müssen sich die Unternehmen öffentlich dazu verpflichten die Datenschutzgrundsätze des EU-US Data Privacy Framework einzuhalten und ihre entsprechenden Datenschutzrichtlinienveröffentlichen. Nach dem Beitritt müssen die Unternehmen die Vorgaben des EU-US Data Privacy Framework verpflichtend einhalten. Eine Liste der teilnehmenden Unternehmen soll vom ›U.S. Department of Commerce‹ veröffentlicht werden. Geplant ist auch eine ›Blacklist‹, welche die Unternehmen auflistet, die beigetreten sind, aufgrund fehlender Compliance jedoch wieder ausgeschlossen wurden.
Interessant für Arbeitgeber: Sofern sich ein Unternehmen entscheidet, auf Grundlage des EU-US Data Privacy Framework personenbezogene Daten aus HRIS-Systemen zu verarbeiten, muss dies gegenüber dem ›U.S. Department of Commerce‹ explizit angezeigt und die Einhaltung der Vorgaben des EU-US Data Privacy Framework bestätigt werden.
Schrems III?
Vor dem Hintergrund der bisher heftigen Kritik erstaunt es nicht, dass die ›NOYB – Europäisches Zentrum für digitale Rechte‹, deren Gründer Max Schrems ist, bereits angekündigt hat, das EU-US Data Privacy Framework vom EuGH überprüfen zu lassen. Es bleibt also abzuwarten, ob das EU-US Data Privacy Framework das Schicksal seiner Vorgänger ereilt.
Auch interessant
Das ›Trans-Atlantic Data Privacy Framework‹ – Endlich rechtssicherer Datentransfer in die USA?
Mai 2023
- Amancaya Stapylton
- Jan-Luca Jorzyk
Schrems II: Datentransfers in das Ausland
September 2020
- Lynn de Haan
- Dr. Rajko Herrmann