„EU-U.S. Data Privacy Framework“ (EU-US DPF)
Der langersehnte Angemessenheitsbeschluss der EU-Kommission für Datenübermittlungen in die USA ist da. Das nunmehrige Kind trägt den Namen „EU-U.S. Data Privacy Framework“ oder „Trans-Atlantic Data Privacy Framework“ (englisch für „Transatlantisches Datenschutzrahmenwerk“).
Nach „Safe Harbour-Entscheidung“ und „Privacy Shield-Beschluss“ nun dritter Anlauf der EU-Kommission
Es handelt sich um den dritten Anlauf der EU-Kommission, eine für Unternehmen äußerst praxisrelevante Erleichterung für grenzüberschreitende Datenverarbeitungen von der EU in die USA zu erreichen.
Ohne Unterstützung von Computerprogrammen („Software“) und der entsprechenden Datenverarbeitung kommt kaum ein mittelständisches Unternehmen mehr aus. Die größten Softwareanbieter stammen dabei aus den USA. Diese Programme werden zunehmend gar nicht mehr als Software selbst vertrieben. Erhältlich ist heutzutage oft nur noch die Möglichkeit der Nutzung der entsprechenden Anwendung via „Cloud“, also über verteilte Rechner. Die Software ist aber nur das eine. Das andere sind die Daten, die verarbeitet werden. Hierüber haben wir hier berichtet.
Darunter sind fast immer auch personenbezogene Kunden- oder Mitarbeiterdaten. Wenn, wie häufig, der Cloud-Anbieter oder seine Unterauftragnehmer außerhalb Europas ansässig sind, sieht die DSGVO weitere Schritte vor, um den Datentransfer absichern. Eine an sich sehr bequeme Lösungsmöglichkeit ist die Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 DSGVO. Fehlt für ein Land ein solcher, wird häufig versucht, den Drittlandstransfer mit den sog. EU- Standardvertragsklauseln abzusichern, deren Neufassung seit dem 27.09.2021 zwingend für Neuverträge zu verwenden sind. Werden diese Vertragsinhalt, gilt dies als „geeignete Garantie“ im Sinne des Art. 46 DSGVO.
Seit dem Wegfall des letzten Angemessenheitsbeschlusses für die USA, auch „Privacy-Shield“ genannt, versuchen sich Unternehmen, mit diesen EU- Standardvertragsklauseln zu behelfen.
Beide Vorgängerentscheidungen wurden vom EuGH für ungültig erklärt
Bereits 2015 hatte Schrems durch den EuGH die Unwirksamkeit der „Safe Harbour-Entscheidung“, dem Vorgänger des „Privacy Shield“, erreicht. Mit Urteil vom 16.07.2020 stellte der Europäische Gerichtshof zum europäischen Datenschutzrecht bezüglich des Verhältnisses EU-USA fest, dass auch der sog. „Privacy-Shield-Beschluss“ der Europäischen Kommission vom 12.06.2016 ungültig ist (EuGH, Urteil vom 16.07.2020 – C-311/18 („Schrems-II“)). Wir berichteten darüber.
Die Europäische Kommission hat nun ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. Darin wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden.
Auswirkungen des neuen Angemessenheitsbeschlusses
Mit dem neuen Angemessenheitsbeschluss sind Datenübermittlungen an Datenempfänger, die unter dem EU-U.S. Data Privacy Framework zertifiziert sind, formal nicht mehr zu beanstanden und werden erheblich erleichtert. Ist ein Unternehmen nach dem EU-US DPF zertifiziert, gilt es nach Art. 44, 45 DSGVO als ein sicherer Datenempfänger. Eine Datenübermittlung an diesen Empfänger bedarf dann rechtlich keiner weiteren Sicherheitsmaßnahmen. Insbesondere müssen mit dem Unternehmen dann in streng rechtlicher Hinsicht auch keine EU-Standardvertragsklauseln abgeschlossen werden.
Haltbarkeit fraglich
Doch das 137-Seiten-starke Dokument, das hier herunterzuladen ist, könnte von nur kurzer Haltbarkeit sein. Unternehmen könnten gut daran tun, die abermalige Unwirksamkeit des Angemessenheitsbeschlusses in ihre Risikoerwägungen mit einzubeziehen.
Historie
Nachdem der Gerichtshof der Europäischen Union den vorherigen Angemessenheitsbeschluss zum Datenschutzschild EU-USA für ungültig erklärt hatte, nahmen die Europäische Kommission und die US-Regierung Gespräche auf, in dem die vom Gerichtshof erhobenen Bedenken angegangen wurden. Am 3. Juli 2023 hat das U.S. Department of Commerce mitgeteilt, dass offiziell alle Maßnahmen des EU-U.S. Data Privacy Frameworks umgesetzt sind. Zuvor hatte US-Präsident Biden mit der Executive Order 14086
unter anderem den Datenzugriff der Nachrichtendienste formell auf das für den Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß zu beschränken versucht; überdies wurde ein neuer Rechtsbehelfsmechanismus für Betroffene in Europa geschaffen.
Im Jahr 2013 enthüllte Edward Snowden, dass die US-Regierung “ Unternehmen und Programme nutzte, um Spionage zu betreiben, ohne dass ein konkreter Verdacht oder eine richterliche Genehmigung erforderlich war. Dies beschränkte sich nicht auf Straftaten oder Terrorismus, sondern umfasste auch die Spionage gegen „Partner“ in Europa.
Kritik
Von vielen Datenschützern hagelt es Kritik an der nunmehr veröffentlichten Entscheidung. Schrems erklärt, das Trans-Atlantic Data Privacy Framework sei weitgehend eine Kopie des für unwirksam erklärten „Privacy Shield“. Hatte Schrems noch zuvor angekündigt, nach den von ihm geführten Prozessen und nach ihm benannten Entscheidungen „Schrems-I“ und „Schrems-II“ solle nunmehr ein anderer den neuen Angemessenheitsbeschluss gerichtlich angreifen, heißt es auf der Webseite der von ihm geführten Organisation „NOYB – Europäisches Zentrum für digitale Rechte“ nun, sie selbst werde die Entscheidung dem EuGH vorlegen.
Handlungsempfehlung für Unternehmen
– Zukünftige Datenverarbeitungen in die USA können nun auf das EU-U.S. Data Privacy Framework gestützt werden. Voraussetzung ist, dass sich der Empfänger Ihrer personenbezogenen Daten unter dem EU-US Data Privacy Framework hat zertifiziert zertifizieren lassen. Entsprechendes dürfte das zuständige United States Department of Commerce („DOC“) veröffentlichen. Bestehende Verarbeitungen sollten darauf geprüft werden, ob sie nun auf den neuen Angemessenheitsbeschluss gestützt werden sollen.
– Das Verzeichnis der Verarbeitungstätigkeiten sollte aktualisiert werden, wenn Dienstleister dem EU-US Data Privacy Framework beitreten.
– Die Datenschutzinformationen für die Betroffenen sollten aktualisiert werden, wenn sich Dienstleister unter dem EU-U.S. Data Privacy Framework haben zertifizieren lassen und nunmehr die Datenverarbeitung darauf gestützt wird.
– Besonders unternehmenskritische Datenverarbeitungen in die USA oder solche, die sehr sensible personenbezogene Daten beinhalten, sollten wegen der Unsicherheiten um die Gültigkeit der Angemessenheitsentscheidung weiterhin per Datenschutzfolgeabschätzung dokumentiert und ggf. zusätzlich durch EU-Standardvertragsklauseln flankiert werden.
– Eine eilige Kündigung Ihrer Verträge mit EU-Standardvertragsklausel halten wir also nicht für geboten. Wegen der Unsicherheit über die Haltbarkeit des neuen Angemessenheitsbeschlusses könnten sich diese als noch sehr hilfreich herausstellen. Dies sehen selbst deutsche Datenschutzaufsichtsbehörden hinter vorgehaltener Hand so.
Autor: Oliver Korth
Autor
UNVERBINDLICHE KONTAKTAUFNAHME
UNVERBINDLICHE KONTAKTAUFNAHME
Sind Sie unsicher, ob Sie mit Ihrer Angelegenheit bei uns richtig sind?
Nehmen Sie gerne unverbindlich Kontakt mit uns auf und schildern uns Ihr Anliegen.
Wir freuen uns auf Ihren Anruf.