Eine Datenübermittlung in Staaten außerhalb der EU ist nur ausnahmsweise erlaubt, wenn sichergestellt ist, dass in dem Land ein angemessenes Datenschutzniveau herrscht (vgl. Art. 45 DSGVO). Die europäische Kommission hat dies für bestimmte Länder festgestellt, z. B. Andorra, Neuseeland, Japan oder die Schweiz. Für Großbritannien gibt es seit Ende Juni 2021 ebenfalls einen Angemessenheitsbeschluss.
Soweit die Datenübermittlung in den Drittstaat zulässig ist, weil für den Staat ein Angemessenheitsbeschluss der Kommission vorliegt, brauchen Sie für die Übermittlung keine zusätzliche Genehmigung. Allerdings benötigen Sie für die eigentliche Datenverarbeitung wie stets, wenn Sie Daten verarbeiten, eine Rechtsgrundlage (z. B. Vertragsdurchführung gemäß Art. 6 Abs. 1 b DSGVO).
Datenübermittlung in die USA zulässig?
EU-US Privacy Shield
Für US-Unternehmen gab es früher die Möglichkeit, sich über den EU-US Datenschutzschild, sog. Privacy Shield, zertifizieren zu lassen. Über dieses Abkommen zwischen der EU und den USA wurde in der Vergangenheit ein angemessenes Datenschutzniveau hergeleitet. US-Konzerne wie Google, Facebook oder Microsoft haben sich entsprechend zertifizieren lassen, sodass die Datenübermittlung zu diesen Unternehmen zulässig war.
EuGH erklärt Privacy Shield für ungültig
Vor einiger Zeit hat der Europäische Gerichtshof (EuGH) das Abkommen über den Privacy Shield jedoch für ungültig erklärt (EuGH, Urteil vom 16.7.2020, C-311/18, „Schrems II“) .
Der EuGH begründete seine Entscheidung damit, dass in den USA kein ausreichender Datenschutz herrscht. So dürfen US-Behörden und US-Nachrichtendienste nach amerikanischem Recht auf personenbezogene Daten zugreifen, die aus der EU in die USA übermittelt wurden. Betroffene in der EU können sich dagegen nicht wehren, weil ihnen kein Rechtsweg eröffnet ist.
Die Pressemitteilung des EuGH zum Privacy Shield finden Sie hier.
Mit dem Wegfall des Privacy Shield fehlt es an einer Grundlage für die Datenübermittlung in die USA.
Datenübermittlung auf Basis von Standardvertragsklauseln
Auch ohne Angemessenheitsbeschluss kann die Datenübermittlung gegebenenfalls zulässig sein, sofern es geeignete Garantien gibt. Geeignete Garantien können beispielsweise durch entsprechende Standardvertragsklauseln erbracht werden (vgl. Art. 46 Abs. 3 a DSGVO). Die Standardvertragsklauseln werden von der EU-Kommission erstellt. Sie dienen dazu, das Datenschutzniveau der EU bei einer Datenübermittlung in einen Drittstaat zu gewährleisten. Eine nach dem EuGH-Urteil aktualisierte Fassung vom Juni 2021 finden Sie hier.
Viele US-Unternehmen stützen die Datenübermittlung in die USA aktuell auf diese Standardvertragsklauseln.
Die Nutzung der aktualisierten Standardvertragsklauseln ist seit dem 27.9.2021 für Neuverträge Pflicht, für Altverträge kann die Umstellung auf die neuen Standardvertragsklauseln bis 27.12.2022 erfolgen. Auch wenn Sie die neuen Standardvertragsklauseln nutzen, bleiben Sie (wie bisher) dafür verantwortlich zu prüfen, dass der Datenschutz im Drittstaat auch tatsächlich eingehalten wird.
Bei der Datenübermittlung in die USA besteht nach wie vor das Risiko, dass US-Unternehmen zur Herausgabe von Daten durch US-Behörden verpflichtet werden können.