11.10.2023
Ab dem 12. Oktober 2023 können auch britische Unternehmen personenbezogene Daten an US-amerikanische Unternehmen weitergeben, wenn diese durch das EU-US Data Privacy Framework (DPF) zertifiziert sind. Über die UK-US Data Bridge wendet Großbritannien das bilaterale DPF direkt an, obwohl Großbritannien bei den Verhandlungen zwischen der EU und den USA gar nicht beteiligt war.
Erst in diesem Sommer billigte die Europäische Kommission das DPF mit der Zielsetzung einer nunmehr dauerhaften Lösung für eine datenschutzkonforme Datenweitergabe an US-amerikanische Unternehmen. Kurz zuvor kündigten Großbritannien und die USA an, dass sie eine Erweiterung des DPF auf Großbritannien vereinbaren werden, um eine sog. „Data Bridge“ zwischen den Staaten zu etablieren. Am 21. September 2023 legte die zuständige britische Ministerin für Wissenschaft, Innovation und Technologie, Michelle Donelan, dem Parlament Angemessenheitsvorschriften zur Umsetzung dieser Vereinbarung vor, sodass das DPF ab dem 12. Oktober 2023 auch auf britische Unternehmen Anwendung findet.
Das DPF ermöglicht es britischen Unternehmen, personenbezogene Daten ohne zusätzliche aufwendige Sicherheitsvorkehrungen (wie etwa International Data Transfer Agreements), an zertifizierte US-amerikanische Unternehmen weiterzugeben. Zwar müssen britische und US-amerikanische Unternehmen weitere Voraussetzungen erfüllen, um die Data Bridge zu implementieren. Hierzu gehört etwa, die eigene Privacy Policy zu aktualisieren und sich für die DPF-Liste zertifizieren zu lassen. Allerdings fallen komplexe Transfer Risk Assessment Prüfungen weg, die bisher bei britischen Unternehmen als alternativer Transfermechanismus in die USA durchzuführen waren. Die Data Bridge erleichtert damit die Datenweitergabe erheblich. Großbritannien erhofft sich hierdurch insbesondere einen erleichterten Marktzugang für britische Unternehmen auf neuen US-amerikanischen Märkten unter Beibehaltung eines hohen Schutzniveaus personenbezogener Daten.
Das DPF ist das dritte transatlantisches Datenschutzabkommen zwischen der EU und den USA. Es ermöglicht die Übermittlung von personenbezogenen Daten aus dem Europäischen Wirtschaftsraum (EWR) in die USA, ohne dass es zusätzlicher Datenschutzgarantien bedarf. Dies beruht auf dem Angemessenheitsbeschluss der Europäischen Kommission, den sie im Sommer 2023 erließ. Dieser erklärt das Datenschutzniveau für personenbezogene Daten in einem Drittland als vergleichbar mit dem der EU-DSGVO. Die Europäische Kommission überprüft den Angemessenheitsbeschluss in regelmäßigen Abstand. Das Ziel ist eine dauerhafte Lösung für eine rechtssichere und datenschutzkonforme Weitergabe von personenbezogenen Daten der EU-Bürgerinnen und Bürger an US-amerikanische Unternehmen. Dies soll durch einen Selbstzertifizierungsmechanismus für US-Unternehmen garantiert werden. Dazu müssen diese sich verpflichten, bestimmte Datenschutzpflichten einzuhalten und sind anschließend auf der DPF-Liste zu finden, sodass ein Datentransfer ohne zusätzliche Maßnahmen möglich ist.
Vor dem DPF hatten EU-Unternehmen jeweils vertragliche EU-Standardklauseln (Standard Contractual Clauses, kurz SCC) mit den Vertragspartnern in den USA abzuschließen und umzusetzen. Mit dem DPF ist dies nicht mehr erforderlich. SCCs bleiben auch mit Inkrafttreten des DPF und unter Geltung des Angemessenheitsbeschlusses wirksam. SCCs sind damit nicht vollkommen aus dem Spiel, sondern können zusätzlich abgeschlossen werden. Indes besteht für die Parteien der SCC nach Klausel 16 lit. e der SCCs die Möglichkeit, sich bei einem Angemessenheitsbeschluss von den SCCs zu lösen.
Ist ein US-Unternehmen nicht DPF-zertifiziert, bleiben die SCCs als Sicherheitsmechanismus erhalten. Zusätzlich ist dann ein verkürztes Transfer Impact Assessment (TIA) durchzuführen. Wenn dies schon durchgeführt wurde, kann es unter Berücksichtigung des Angemessenheitsbeschlusses angepasst werden. Auch bei den sog. Onward Transfers kann sich das DPF auswirken: Grundsätzlich sind SCCs und TIA auf zweiter Ebene notwendig, wenn die personenbezogenen Daten an EU-Empfänger übermittelt werden, die diese dann an Nicht-EU-Unternehmen weitergeben. Geschieht die erste Weitergabe nun an ein DPF-zertifiziertes US-Unternehmen, die diese dann ebenfalls an ein Nicht-EU-Unternehmen weiterübermitteln, sind auch hier keine SCCs und TIA erforderlich.
Neben EU-Unternehmen geben auch die meisten UK-Unternehmen Daten an US-Unternehmen weiter, beispielsweise an IT-Dienstleister wie Google Analytics. Mit der UK-US Data Bridge erstreckt sich die vorgenannte Wirkung des DPF auch auf Großbritannien. Ist ein US-amerikanisches Unternehmen auf der DPF-Liste genannt, kann es nun über die UK-US Data Bridge unter Einhaltung datenschutzrechtlicher Vorgaben auch personenbezogene Daten aus Großbritannien empfangen. Die Data Bridge ist insofern nichts anderes als ein Angemessenheitsbeschluss der britischen Regierung, die das DPF als äquivalent zu den britischen Datenschutzbestimmungen erklärt.
Ein Blick in die Vergangenheit prophezeit sowohl dem DPF als auch der UK-US Data Bridge einen steinigen Weg. Der Europäische Gerichtshof (EuGH) erklärte schon die vorherigen EU-US-Datenschutzabkommen Safe Harbour und Privacy Shield für ungültig. Beide Abkommen scheiterten daran, dass personenbezogene Daten von EU-Bürgerinnen und Bürgern auf Servern in den USA zugänglich für US-amerikanische Behörden waren und damit Grundrechtseingriffe ermöglicht wurden. Gegen diese Zugriffe bestanden nach Ansicht des EuGH keine ausreichenden Rechtsschutzmöglichkeiten.
Es ist zu erwarten, dass der EuGH auch das DPF prüfen wird. Der französische Parlamentarier Philippe Latombe reichte im September zwei Klagen gegen das DPF beim Europäischen Gericht ein. Auch Max Schrems kündigte eine neue Beschwerde gegen das DPF an, die im Laufe des Jahres 2024 als Vorlageverfahren vor dem EuGH landen soll. Sollte der EuGH das DPF ebenfalls für rechtswidrig erklären, würde eine Grundlage für eine rechtmäßige Datenweitergabe von EU-Unternehmen an US-Unternehmen erneut fehlen. Die Folge wäre, Datenübermittlungen vom UK in die USA entweder zu stoppen oder erneut auf SCCs zurückzugreifen. Zusätzlich dürfte sich ein solches Urteil auch auf die UK-US Data Bridge auswirken. Denn auch Großbritannien könnte gehalten sein, sich von der UK-US-Bridge lösen, um den Angemessenheitsstatus gegenüber der EU beizubehalten.
Es empfiehlt sich eine ausführliche Überprüfung des Datentransfers in die USA. Dies beinhaltet die Prüfung, ob die US-amerikanischen Vertragspartner zertifiziert sind oder ob sie dies planen. Es ist dabei zu beachten, dass in Bezug auf Großbritannien bestimmte Unternehmen und Datenkategorien vom Anwendungsbereich der UK-US Data Bridge ausgenommen sind oder nur unter höheren Voraussetzungen übertragen werden dürfen. Hierzu zählen insbesondere solche der besonderen Datenkategorien oder die strafbare Handlungen betreffen.
Zertifizierte Unternehmen sind auf der DPF-Liste zu finden, die zurzeit 2500 Unternehmen listet. Dort befinden ebenfalls deren Datenschutzerklärungen, die dahingehend zu prüfen sind, ob die übertragenden Datentypen gedeckt sind. Ist dies der Fall, ist eine Anpassung der eigenen Datenschutzerklärung hinsichtlich der Anwendung der UK-US Data Bridge notwendig. Bei der Datenweitergabe an nicht-zertifizierte Unternehmen sind weiterhin SCCs und ein TIA für einen rechtmäßigen Datentransfer in die USA erforderlich.