Internationaler Datenverkehr oder Datenexport ist die Weitergabe von personenbezogenen Daten in das Ausland oder an eine Internationale Organisation. Die diesbezüglichen Regelungen befinden sich in Art. 44-50 DSGVO. Hinsichtlich des Datenverkehrs zwischen den USA und der EU konnte man sich auf das Privacy Shield stützen. Das Privacy Shield war ein Abkommen zwischen der EU und den USA, welches die Übermittlungsmöglichkeiten und deren Voraussetzungen im Hinblick auf personenbezogene Daten von der EU in die USA regelte. Mit dem Privacy Shield sollte ein Nachfolger für das vorherige Abkommen, Safe Harbor, gefunden werden, das bereits 2015 vom EuGH für ungültig erklärt wurde („Urteil Schrems I“).
Dieses Abkommen war eine sogenannte „Angemessenheitsentscheidung“, mit der festgestellt wurde, dass die USA ein EU-konformes Datenschutzniveau für den Datentransfer aus der EU an US-Unternehmen, die sich diesem „Privacy Shield“ unterworfen haben, gewährleistet haben. US-Unternehmen hatten die Möglichkeit, sich in eine vom US-Handelsministerium geführten Liste („Privacy Shield List“) eintragen zu lassen, wenn sie sich zur Einhaltung der vereinbarten verbindlichen Anforderungen („Privacy Shield Principles“) durch eine Selbstzertifizierung gegenüber dem US-Handelsministerium verpflichteten.
Wie vielen bekannt ist, hat am 16.7.2020 der Europäische Gerichtshof dieses EU-US Privacy Shield mit sofortiger Wirkung für ungültig erklärt. Seit dem war der Datenverkehr zwischen der EU und den USA datenschutzrechtlich jedenfalls hochproblematisch.
Am 10. Juli 2023 wurde von der Europäischen Kommission ein neuer Angemessenheitsbeschluss gemäß Art. 45 DSGVO für die Vereinigten Staaten von Amerika angenommen, das sog. EU-U.S. Data Privacy Framework (siehe https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721).
Zu beachten ist, dass der Angemessenheitsbeschluss nur partiell gilt und nur Datenübermittlungen an jene Datenimporteure in den Vereinigten Staaten abdeckt, die in der sog. Data Privacy Framework List aufscheinen (eine Suche ist unter https://www.dataprivacyframework.gov/s/participant-search möglich).
Scheint ein Datenimporteur in den Vereinigten Staaten in dieser Liste auf (wie dies zB bei den großen US-amerikanischen IT-Unternehmen wie Google, Microsoft und Meta (Facebook, Instagram) der Fall ist), ist die Übermittlung personenbezogener Daten allein auf Basis des Angemessenheitsbeschlusses möglich und müssen keine weiteren Maßnahmen iSd. Art. 46 DSGVO gesetzt werden.
Hingegen müssen Datenübermittlungen an Datenimporteure in den Vereinigten Staaten, welche nicht unter das EU-U.S. Data Privacy Framework fallen, weiterhin auf andere geeignete Garantieinstrumente iSd. Art. 46 DSGVO (bspw. Standarddatenschutzklauseln samt ggf. zusätzlicher Maßnahmen) oder – falls anwendbar – auf Ausnahmetatbestände iSd. Art. 49 DSGVO gestützt werden.
Verantwortliche Datenexporteure müssen daher vor Durchführung der jeweiligen Datenübermittlung im Rahmen ihrer Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) prüfen, ob die Übermittlung in den Anwendungsbereich des neuen Angemessenheitsbeschlusses fällt, oder ob anderweitige Übermittlungsgrundlagen heranzuziehen sind.
Ob dieser nunmehr dritte Versuch der Europäischen Kommission, Rechtssicherheit für einen datenschutzrechtlich zugegebenermaßen hoch bedenklichen Datenverkehr herzustellen, einem bereits angekündigten Verfahren vor dem Europäischen Gerichtshof stand halten wird, wird die Zeit zeigen. In der Zwischenzeit gilt jedenfalls der Angemessenheitsbeschluss.