In aller Kürze
- Die Datenübermittlung in Nicht-EU-Staaten ist nur unter bestimmten Bedingungen zulässig, z.B. wenn die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat.
- Seit Juli 2023 gibt es ein neues Datenschutzabkommen zwischen der EU und den USA, das EU-U.S. Data Privacy Framework, das ein ausreichendes Datenschutzniveau für den Datentransfer gewährleistet.
- Eine weitere Möglichkeit, Daten in Drittstaaten zu übermitteln, sind Standardvertragsklauseln, die von der EU-Kommission erstellt werden.
- Das Privacy Shield war ein früheres Datenschutzabkommen zwischen der EU und den USA, das vom EuGH im Juli 2020 für ungültig erklärt wurde.
Datenübermittlung in Drittländer
Eine Datenübermittlung in Staaten außerhalb der EU ist nur ausnahmsweise erlaubt, wenn sichergestellt ist, dass in dem Land ein angemessenes Datenschutzniveau herrscht (vgl. Art. 45 DSGVO). Die europäische Kommission hat dies für bestimmte Länder festgestellt, z. B. Andorra, Neuseeland, Japan oder die Schweiz. Nach dem Brexit gibt es für Großbritannien seit Ende Juni 2021 ebenfalls einen Angemessenheitsbeschluss.
Soweit die Datenübermittlung in den Drittstaat zulässig ist, weil für den Staat ein Angemessenheitsbeschluss der Kommission vorliegt, brauchen Sie für die Übermittlung keine zusätzliche Genehmigung, wenn Daten in dem jeweiligen Drittstaat verarbeitet werden. Allerdings benötigen Sie für die Datenverarbeitung – wie stets, wenn Sie Daten verarbeiten – eine Rechtsgrundlage (z. B. Vertragsdurchführung gemäß Art. 6 Abs. 1 b DSGVO).
Datenübermittlung in die USA zulässig?
UPDATE JULI 2023: Data Privacy Framework
Am 10.7.2023 ist das EU-U.S. Data Privacy Framework (DPF) in Kraft getreten, ein Datenschutzrahmen für den Datentransfer zwischen der EU und den USA. Die EU-Kommission hat zudem in einem Angemessenheitsbeschluss für die USA ein ausreichendes Datenschutzniveau festgestellt.
Damit ist die Datenübermittlung an US-Unternehmen wie z. B. Google, die personenbezogene Daten (z. B. IP-Adressen) auch in den USA verarbeiten und unter dem dem EU-U.S. DPF zertifiziert sind, nunmehr wieder zulässig.
Denken Sie bei der Nutzung von US-Diensten daran, dass Sie weiterhin eine Rechtsgrundlage aus der DSGVO für die eigentliche Datenverarbeitung benötigen (z. B. Einwilligung in die beabsichtigte Datenverarbeitung oder berechtigte Interessen etc.).
Frühere Datenschutzabkommen mit den USA sind in der Vergangenheit mit Rechtsmitteln erfolgreich zu Fall gebracht worden, so zuletzt das Privacy Shield (s. unten). Es kann davon ausgegangen werden, dass in der Zukunft auch gegen den neuen EU-US-Datenschutzrahmen Klage erhoben werden wird. Der österreichische Datenschutzaktivist und Rechtsanwalt Max Schrems und sein Verein noyb haben bereits angekündigt, dies zu tun.
Rechtslage vor dem EU-U.S. Data Privacy Framework
EU-US Privacy Shield
Für US-Unternehmen gab es bisher die Möglichkeit, sich über den EU-US Datenschutzschild, sog. Privacy Shield, zertifizieren zu lassen. Über dieses Abkommen zwischen der EU und den USA wurde in der Vergangenheit ein angemessenes Datenschutzniveau hergeleitet. US-Konzerne wie Google, Facebook oder Microsoft haben sich entsprechend zertifizieren lassen.
EuGH erklärt Privacy Shield für ungültig
Am 16.7.2020 hat der Europäische Gerichtshof (EuGH) das Abkommen über den Privacy Shield jedoch für ungültig erklärt (EuGH, Urteil vom 16.7.2020, C-311/18, „Schrems II“) .
Der EuGH begründete seine Entscheidung damit, dass in den USA kein ausreichender Datenschutz herrscht. So dürfen US-Behörden und US-Nachrichtendienste nach amerikanischem Recht auf personenbezogene Daten zugreifen, die aus der EU in die USA übermittelt wurden. Betroffene in der EU können sich dagegen nicht wehren, weil ihnen kein Rechtsweg eröffnet ist.
Die Pressemitteilung des EuGH zum Privacy Shield finden Sie hier.
Nach dem Wegfall des Privacy Shield fehlte es an einer Grundlage für die Datenübermittlung in die USA und es wurde zumeist auf Standardvertragsklauseln zurückgegriffen.
Datenübermittlung auf Basis von Standardvertragsklauseln
Auch ohne Angemessenheitsbeschluss kann die Datenübermittlung zulässig sein, sofern es geeignete Garantien gibt. Geeignete Garantien können beispielsweise durch entsprechende Standardvertragsklauseln erbracht werden (vgl. Art. 46 Abs. 3 a DSGVO). Die Standardvertragsklauseln werden von der EU-Kommission erstellt. Sie dienen dazu, das Datenschutzniveau der EU bei einer Datenübermittlung in einen Drittstaat zu gewährleisten. Eine nach dem EuGH-Urteil aktualisierte Fassung vom Juni 2021 finden Sie hier.
Viele US-Unternehmen stützen die Datenübermittlung in die USA auf diese Standardvertragsklauseln, insbesondere in der Zeit nach dem Wegfall des Privacy Shield.
Die Nutzung der aktualisierten Standardvertragsklauseln ist seit dem 27.9.2021 für Neuverträge Pflicht, für Altverträge musste bis 27.12.2022 auf die neuen Standardvertragsklauseln umgestellt werden.
Auch wenn Sie die neuen Standardvertragsklauseln nutzen, bleiben Sie (wie bisher) dafür verantwortlich zu prüfen, dass der Datenschutz im Drittstaat auch tatsächlich eingehalten wird. Ein nicht ganz leichtes Unterfangen…