Seit einem halben Jahr ist das EU-US Data Privacy Framework nunmehr in Kraft. Mit dem internationalen Datenschutzabkommen zwischen der EU und den USA sollen Datentransfers in die USA künftig mit geringeren rechtlichen Hürden möglich sein. Dabei gilt es jedoch zu beachten, dass die Vorschriften nicht für alle Unternehmen aus den USA gelten, sondern sich diese dem Abkommen explizit unterwerfen müssen. Dies haben unter anderem schon namenhafte Anbieter wie Adobe Inc., Amazon.com, Inc., Google llc, Gopro Inc., Meta Platforms Inc., NVIDIA Corp. getan.
EU-Unternehmen haben daher genau zu prüfen, ob der Vertragspartner aus den USA sich dem Abkommen angeschlossen hat und eine sichere Drittlandübermittlung gewährleistet ist. Für eine Prüfung dessen kann mittlerweile eine genaue Liste aller Unternehmen auf der Website der International Trade Administration (ITA) unter https://www.dataprivacyframework.gov/list abgerufen werden. Andernfalls sind weiterhin Standardvertragsklauseln abzuschließen und zu überprüfen, ob aufgrund der zusätzlich ergriffenen Maßnahmen das europäische Datenschutzniveau auch im Drittland erreicht werden kann.
Trotz des Vorliegens des Angemessenheitsbeschlusses gilt es weiterhin zu beachten, dass die übrigen – allgemeinen – Anforderungen an eine zulässige Datenverarbeitung erfüllt sein müssen, wozu unter anderem das Erfordernis der in Kapitel II der DSGVO geregelten Rechtsgrundlagen, wie das Erfordernis einer Einwilligung in einigen Bereichen, zählen (vgl. Urteil des OLG Köln vom 03.11.2023, Az. 6 U 58/23).
Gleichwohl bleibt es dabei, dass sorgfältig geprüft werden sollte, ob es möglich ist, alternative deutsche oder europäische Anbieter bzw. Lösungen zu wählen. Denn so hat Max Schrems, der bereits das transnationale Safe-Harbor-Abkommen zwischen der EU und den USA und den EU-US Privacy Shield erfolgreich angefochten hat, angekündigt, gerichtlich gegen den Angemessenheitsbeschluss vorzugehen. Es ist nicht auszuschließen, dass der Angemessenheitsbeschluss vor dem EuGH als unzulässig bewertet wird und ein Datentransfer ohne Standardvertragsklauseln und weiteren Maßnahmen rechtlich unzulässig ist.
Wenn Sie einen Anbieter aus den USA wählen, sollten Sie zusammenfassend genau prüfen, ob dieses sich dem EU-U.S. Data Privacy Framework unterworfen hat. Dies können Sie über die oben genannte Webseite der ITA prüfen. Daneben sind die weiteren allgemeinen datenschutzrechtlichen Anforderungen einzuhalten.
Für Fragen zum Datenschutzrecht, insbesondere der DSGVO und des BDSG, und zu den aktuellen Änderungen durch das EU-U.S. Data Privacy Framework wenden Sie sich gerne an uns.
Ihre Ansprechpartner: Rechtsanwälte Dr. Stefan Bischoff & Markus Heinrich
