Sobald die Datenschutz-Grundverordnung (DSGVO) anwendbar ist, dürfen personenbezogene Daten nur dann verarbeitet werden, wenn es hierfür eine Erlaubnis im Gesetz gibt. Sollen personenbezogene Daten in Drittländer außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) übermittelt werden, gelten zusätzliche Anforderungen. Hier ist eine zweistufige Prüfung erforderlich:

1. Stufe: Wäre die Datenverarbeitung erlaubt, wenn sie innerhalb der EU oder des EWR stattfinden würde?

2. Stufe: Ist darüber hinaus auch der Datenexport in das Drittland erlaubt?

Die Art. 44 ff. DSGVO sehen verschiedene Fälle vor, in denen Datenexporte in Drittländer erlaubt sind. Dazu zählen unter anderem:

• Angemessenheitsbeschluss: Die EU-Kommission kann förmlich beschließen, dass ein Drittland oder ein bestimmter Sektor in einem Drittland ein angemessenes Datenschutzniveau bietet (Art. 45 DSGVO). Die aktuelle Liste der Länder bzw. Regionen oder Sektoren, für die ein Angemessenheitsbeschluss besteht, ist auf der Website der EU-Kommission einsehbar.

• Übermittlungstools: Verschiedene rechtliche Instrumente können ein ausreichendes Datenschutzniveau gewährleisten (Art. 46 Abs. 2 DSGVO), darunter Standarddatenschutzklauseln (auch Standardvertragsklauseln oder SCC genannt), die Datenexporteure mit Datenimporteuren abschließen können oder sogenannte verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR).

• Ausnahmetatbestände: Art. 49 DSGVO ermöglicht Datenexporte ausnahmsweise auch, wenn bestimmte Sonderfälle vorliegen. Dazu gehören insbesondere:

  • Eine Einwilligung der betroffenen Person, die aber besonders hohen speziellen Anforderungen unterliegt.

  • Die Erforderlichkeit der Übermittlung zur Erfüllung eines Vertrags mit der betroffenen Person oder für die betroffene Person, etwa im Rahmen einer Hotelbuchung im Drittland.

  • Für hoheitlich handelnde Behörden gelten dabei einige Einschränkungen, insbesondere dürfen sie diese Ausnahmetatbestände teilweise nicht nutzen.

Ist keiner dieser Fälle gegeben, dürfen die Daten nicht in das Drittland übermittelt werden. Zu beachten ist hierbei, dass der Begriff der Übermittlung sehr weit zu verstehen ist. Nach den einschlägigen Leitlinien des Europäischen Datenschutzausschusses (EDSA) meint der Begriff der „Übermittlung“ jegliches Zugänglichmachen personenbezogener Daten gegenüber einer anderen Stelle mit Sitz oder Verarbeitungsort im Drittland. Damit ist sowohl das „Übersenden“ von Daten ins Drittland wie insbesondere auch die Einräumung von Zugriffsrechten für Stellen im Drittland umfasst – etwa für die Betreuung von Kund:innen, für IT-Service oder IT-Administration. Zu betrachten ist dabei stets die gesamte Dienstleistungskette inklusive des Einsatzes von Subunternehmen mit Sitz oder Verarbeitungsort im Drittland.

Die EU-Kommission hat am 10. Juli 2023 den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework angenommen. Sie kommt damit zu der Einschätzung, dass die USA im Rahmen des EU-U.S. Data Privacy Framework (DPF) ein angemessenes Schutzniveau für bestimmte Übermittlungen personenbezogener Daten gewährleisten.

Sofern eine Rechtsgrundlage nach Art. 6 DSGVO für die Verarbeitung vorliegt – beispielsweise in Form einer Einwilligung der betroffenen Person –, können personenbezogene Daten unter bestimmten Umständen an Organisationen in den USA und ohne weitere Übermittlungsinstrumente nach den Artikeln 46 oder 49 DSGVO übermittelt werden. Voraussetzung hierfür ist eine Selbst-Zertifizierung der empfangenden Stelle nach dem EU-U.S. Data Privacy Framework. Dafür müssen die empfangenden Stellen den Ermittlungs- und Durchsetzungsbefugnissen der Federal Trade Commission (FTC) oder des Department of Transportation (DoT) unterliegen. Für Banken, Versicherungen und Betreiber öffentlicher Telekommunikationsnetze ist dies gegebenenfalls nicht möglich. Eine entsprechende Liste selbst-zertifizierter Organisationen wird vom US-Handelsministerium geführt.

Verantwortliche bzw. die in die USA übermittelnden Stellen (Datenexporteure) müssen daher prüfen, ob die jeweils geplanten Übermittlungen in den Anwendungsbereich des Beschlusses fallen und ob die empfangenden US-Organisationen auch unter dem EU-U.S. Data Privacy Framework zertifiziert sind.

Hintergrund für diese Rechtslage ist die Executive Order 14086 des US-Präsidenten, die die bislang weitgehend ungeregelten Zugriffsbefugnisse der US-Behörden auf Daten aus der EU beschränken soll und Betroffenen in der EU verschiedene Rechtsbehelfe gegen unrechtmäßige Überwachungsmaßnahmen zur Verfügung stellt. Die US-Regierung gibt an, dass die Schutzmaßnahmen der Executive Order 14086 im Bereich der nationalen Sicherheit für sämtliche an die USA übermittelten Daten und unabhängig vom verwendeten Übermittlungsinstrument gelten sollen.

Mit den Reformen im US-Recht sollen die zentralen Kritikpunkte des Europäischen Gerichtshofs (EuGH) aus dem „Schrems II“-Urteil (Rs. C-311/18) umgesetzt werden, mit dem dieser den vorherigen Angemessenheitsbeschluss („EU-U.S. Privacy Shield“) der EU-Kommission für die USA für ungültig erklärte.

Unter dem EU-U.S. Data Privacy Framework zertifizierte Organisationen müssen wirksame und leicht zugängliche Rechtsbehelfsmechanismen für Betroffene vorsehen. So können Betroffene bei mehreren Stellen – unter anderem direkt bei der zertifizierten US-Organisation oder bei den EU-Datenschutzaufsichtsbehörden – Beschwerde gegen mutmaßliche Verstöße der Vorgaben aus dem EU-U.S. Data Privacy Framework einreichen. Auch steht es den Betroffenen offen, ein verbindliches Schiedsverfahren anzustrengen.

Um die Rechtmäßigkeit eines staatlichen Zugriffs auf Daten durch US-Behörden – auch im Bereich der nationalen Sicherheit – zu überprüfen, wurde ein zweistufiger Rechtbehelfsmechanismus eingeführt, an dessen Ende unter Umständen die Behebung eines Verstoßes, einschließlich der Berichtigung oder Löschung der personenbezogenen Daten stehen kann. Betroffene können auch diesbezüglich Beschwerden bei den EU-Datenschutzaufsichtsbehörden einreichen.

Der Angemessenheitsbeschluss wird ein Jahr nach Inkrafttreten und danach spätestens alle vier Jahre von der EU-Kommission unter Mitwirkung des Europäischen Datenschutzausschusses auf seine Wirksamkeit überprüft (und gegebenenfalls angepasst oder aufgehoben). Zudem können Angemessenheitsbeschlüsse durch den Europäischen Gerichtshof gerichtlich überprüft und gegebenenfalls in ihrer Gesamtheit für ungültig erklärt werden. Verliert der Angemessenheitsbeschluss seine Wirksamkeit, müssen Verantwortliche die entsprechenden Übermittlungen auf ein anderes Übermittlungsinstrument stützen oder die in Rede stehenden Übermittlungen einstellen.

Übermittlungen in Drittländer ohne Angemessenheitsbeschluss sowie an US-Empfänger:innen außerhalb des Anwendungsbereichs des Angemessenheitsbeschlusses bzw. an US-Empfänger:innen, die nicht unter dem EU-U.S. Data Privacy Framework zertifiziert sind, können dagegen nicht auf den Angemessenheitsbeschluss gestützt werden. Stattdessen sind für entsprechende Übermittlungen – wie bisher auch – andere Übermittlungsinstrumente aus Kapitel V DSGVO erforderlich. Im Ergebnis muss ein Schutzniveau gewährleistet werden, das dem in der EU garantierten Schutz gleichwertig ist.

Besonders praxisrelevant dürften hierbei Übermittlungen auf Grundlage der Standardvertragsklauseln (SCC) sein. Die EU-Kommission hat hierfür modular aufgebaute Standardvertragsklauseln erlassen, die EU-Verantwortlichen und EU-Auftragsverarbeiter:innen zusätzliche Kontrollmöglichkeiten an die Hand geben. Entsprechend der Rollen der exportierenden bzw. importierenden Stellen als Verantwortliche, Auftragsverarbeiter:innen oder gemeinsam Verantwortliche müssen hier die entsprechenden Module der Standardvertragsklauseln gewählt, die notwendigen Angaben gemacht und die Standardvertragsklauseln als Ganzes mit den Importeur:innen abgeschlossen werden.

Die Nutzung der Standardvertragsklauseln erfordert nach der Rechtsprechung des Europäischen Gerichtshofs aus dem „Schrems II“-Urteil jedoch weiterhin eine Bewertung der Rechtslage und Rechtspraxis des Drittlands (sogenanntes Transfer Impact Assessment, abgekürzt TIA) hinsichtlich eines etwaigen Zugriffs der dortigen Behörden auf die übermittelten personenbezogenen Daten, was auch die Standardvertragsklauseln aufgenommen haben. Nur wenn das geforderte Schutzniveau auch in diesen Fällen gegeben ist, sorgen die Standardvertragsklauseln für den erforderlichen Datenschutz. Für Übermittlungen in die USA kann an dieser Stelle auf die Bewertung der EU-Kommission aus dem Angemessenheitsbeschluss zurückgegriffen werden. Sofern die Prüfung der Rechtslage und  Rechtspraxis des Drittlands im Rahmen des TIA zu dem Ergebnis kommt, dass kein ausreichendes Schutzniveau im Zielland besteht, müssen geeignete ergänzende Maßnahmen ergriffen werden.

Der EDSA hat vor diesem Hintergrund Empfehlungen zu Maßnahmen zur Ergänzung von Übermittlungstools erarbeitet, wie Verantwortliche und auftragsverarbeitende Stellen, die personenbezogene Daten in Drittländer übermitteln wollen, vorgehen sollten. Diese Empfehlungen enthalten neben einer Schritt-für-Schritt-Anleitung auch denkbare ergänzende Maßnahmen, um Defizite des Datenschutzniveaus im Zielland des Datenexports nach Möglichkeit auszugleichen.

Lassen sich keine wirksamen und geeigneten ergänzenden Maßnahmen finden, die die Gefährdungen für den Schutz personenbezogener Daten im Drittland beseitigen, müssen Datenexporte sofort beendet bzw. dürfen nicht begonnen werden. Eine Verpflichtung hierzu besteht insbesondere dann, wenn das Recht des jeweiligen Drittlands dem Daten importierenden Unternehmen Verpflichtungen – etwa hinsichtlich eines Zugangs der Behörden dieses Drittlands zu den Daten – auferlegt, die den Standardvertragsklauseln widersprechen und die die Einhaltung der darin festgelegten Pflichten rechtlich unmöglich machen bzw. zumindest dazu geeignet sind, die vertraglich vereinbarte Garantie eines angemessenen Schutzniveaus zu untergraben.

In Anhang zu seinen Empfehlungen hat der Europäische Datenschutzausschuss für verschiedene praktische Anwendungsfälle geprüft, ob und welche ergänzenden Maßnahmen geeignet sind, nach europäischem Recht unzulässige Zugriffsbefugnisse der Drittlands-Behörden auszugleichen. Dazu gehören eine sichere Verschlüsselung oder eine für die Dienstleister:innen und die Drittlands-Behörden nicht auflösbare Pseudonymisierung. Für die im Bereich der Cloud-Dienste besonders relevanten Fälle, in denen die eingeschalteten Dienstleister:innen die personenbezogenen Daten im Klartext verarbeiten müssen, konnte der Europäische Datenschutzausschuss dagegen keine ausreichenden Maßnahmen identifizieren. In diesen Fällen sind die Datenexporte unzulässig. Die Nutzung dieser IT-Dienstleister:innen muss daher unterbleiben.