Data Privacy Framework (DPF) – Einsatz von US-Dienstleistern nun DSGVO-sicher?
Im Jahr 2020 hat der Europäische Gerichtshof das Datenschutzniveau in den USA als unzureichend eingestuft. Dies führte zu großer Unsicherheit bei europäischen Unternehmen, Behörden und Einzelpersonen.
Die Unsicherheit betraf insbesondere diejenigen, die Dienstleistungen von US-Anbietern einsetzten. Unternehmen und Einzelpersonen, die Dienste von Google, Meta, Cloudflare oder Amazon nutzten, waren ständigen Drohungen von Untersagungsverfügungen und Bußgeldern von Aufsichtsbehörden ausgesetzt.
Das Data Privacy Framework (Abkürzung “DPF”) soll nunmehr diese Unsicherheit mindern und insbesondere Unternehmen eine rechtliche Gewissheit bieten. Es besteht jedoch eine Befürchtung, dass diese Verbesserung nur vorübergehend sein könnte. Das liegt daran, dass das Data Privacy Framework Kritik von Datenschützern erfährt und der Europäische Gerichtshof sogar aufgefordert wird, es aufzuheben.
Daher zielt der folgende Artikel darauf ab, nicht nur die Funktionsweise und die Vorteile des Data Privacy Frameworks zu erläutern, sondern auch auf die potenziellen Risiken einer zukünftigen Aufhebung hinzuweisen.
Inhalt des Beitrags:
Was ist das Data Privacy Framework?
Das DPF ist weder ein Gesetz, ein völkerrechtliches Abkommen, eine behördliche Maßnahme noch eine politische Initiative. Vielmehr handelt es sich dabei um eine Vereinbarung (Englisch: “Agreement”) zwischen der EU-Kommission und dem US-Handelsministerium. In dieser Vereinbarung verpflichten sich die USA, ihr Datenschutzniveau zu verbessern. Im Gegenzug erklärt die EU-Kommission die Übertragung von Daten in die USA für angemessen.
Das DPF stellt zugleich einen erneuten Anlauf der EU und der USA dar, den Transfer von personenbezogenen Daten von der EU in die USA sowohl für Unternehmen als auch für Einzelpersonen rechtssicher zu gestalten. In diesem Artikel werden Sie die Vorgeschichte des DPF, seine Aussichten, einer Überprüfung durch den EuGH standzuhalten, sowie seine möglichen Auswirkungen auf Ihre Nutzung von US-Dienstleistern oder US-Datentransfers rläutern.
Wann dürfen personenbezogene Daten in die USA transferiert werden?
Die DSGVO verbietet grundsätzlich die Übermittlung personenbezogener Daten außerhalb der EU in sog. “Drittländer” (Art. 44 bis 49 DSGVO). Zu diesen Drittländern gehören vor allem die USA.
Es sei denn, es kann ein angemessenes Datenschutzniveau in dem Drittland festgestellt werden. Das ist in den folgenden Fällen möglich:
- EU-Kommission hat ein angemessenes Datenschutzniveau festgestellt: derartige Angemessenheitsbeschlüsse existieren z. B. für die Schweiz, Neuseeland, Andorra, Argentinien, die Färöer Inseln, Guernsey, Japan, Korea, Kanada, Israel und Großbritannien. So hat die EU-Kommission auch im Rahmen des DPF festgestellt, dass ein angemessenes Datenschutzniveau auch für US-Unternehmen besteht, die ein bestimmtes (Selbst)zertifizierungsverfahren durchlaufen (also verkürzt gesagt zusichern, dass sie die DSGVO beachten werden).
- Abschluss von Standardvertragsklauseln: Als Standardvertragsklauseln werden Musterverträge der EU-Kommission bezeichnet, die Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus verpflichten. Allerdings erlauben sie Datentransfers nur, wenn das EU-Datenschutzniveau auch tatsächlich gewahrt wird. Die Standardvertragsklauseln waren bisher die gängige Alternative zu einem Angemessenheitsbeschluss. Allerdings wurde zunehmend in Frage gestellt, ob eine vertragliche Verpflichtung Daten der EU-Bürger vor Geheimdiensten zu schützen, allein ausreicht.
- Binding Corporate Rules: Unternehmen können sich auch selbst gegebene und verbindliche Datenschutzregeln geben. Diese Alternative ist eher selten, zumal auch eine externe Zertifizierung oder eigene Prüfung erforderlich wäre, um auf deren Grundlage Daten in Drittländer zu transferieren (das Ergebnis dürfte ähnlich wie bei TSPF ausfallen).
- Erforderliche Datentransfers: Wenn die Übermittlung oder sonstige Verarbeitung der Daten in Drittländern erforderlich und für die Betroffenen erkennbar ist, darf die Übermittlung erfolgen (z.B. wenn eine Reise in den USA gebucht oder eine E-Mail in die USA verschickt wird).
- Einwilligungen – Als letzte Möglichkeit bleiben praktisch nur die Einwilligungen der betroffenen Personen. Diese sind jedoch zum einen umständlich und können schnell an fehlender Transparenz, ausdrücklicher Abgabe oder an fehlender Freiwilligkeit oder fehlender Einwilligungsfähigkeit (z.B. in Deutschland ab 16 Jahren, in Österreich ab 14, s. Art. 8 Abs. 3 DSGVO) scheitern.
- Weitere Ausnahmen: Weitere Ausnahmen können Sie Art. 49 DSGVO entnehmen.
Ob auch Daten in den USA von Facebook, Google, Cloudflare, Open AI oder Meta verarbeitet werden, die Zulässigkeit der Datenverarbeitung in den USA hängt bisher vor allem von den Standardvertragsklauseln ab. Mit dem DPF soll sich das ändern und es soll eine höhere Rechtssicherheit erreicht werden.
Warum wurden die Vorgänger des DPF für unwirksam erklärt?
Das Data Privacy Framework hatte bereits zwei Vorgänger, genannt “Safe Harbor” und “Privacy Shield”, die ähnlich strukturiert waren. Diese Zusicherungen, das Datenschutzniveau zu gewährleisten, wurden jedoch durch die Enthüllungen von Edward Snowden in Frage gestellt, der aufzeigte, dass US-Geheimdienste massenhaft auf Daten der EU-Bürger zugriffen.
Daraufhin wurden Klagen eingereicht und der EuGH erklärte die Angemessenheitsbeschlüsse 2015 (EuGH, 06.10.2015 – C-362/14 “Schrems I”) und 2020 (EuGH, 16.07.2020 – C-311/18 “Schrems II”) für unwirksam, da es in den USA an einem angemessenen Datenschutzniveau mangelte. Dies verstieß gegen die Grundrechte der EU-Bürger auf Privatsphäre, Datenschutz, Verhältnismäßigkeit und einen wirksamen Rechtsbehelf..
Um zu verhindern, dass das DPF das gleiche Schicksal ereilt, haben die USA im Gegensatz zu den vorherigen Vereinbarungen weitreichende Maßnahmen getroffen, um ein angemessenes Datenschutzniveau zu gewährleisten.
Was macht das DPF anders als seine Vorgänger?
Ein wesentlicher Vorteil des Privacy Framework (DPF) liegt darin, dass es nicht lediglich eine vertragliche Zusage amerikanischer Unternehmen ist, angemessenen Datenschutz zu gewährleisten. Es geht darüber hinaus, denn wie wir wissen, könnten sich US-Geheimdienste theoretisch über solche vertraglichen Klauseln hinwegsetzen.
Im Zuge der Implementierung des DPF begrenzten die USA tatsächlich die Befugnisse ihrer Geheimdienste hinsichtlich des Zugriffs auf Daten von EU-Bürgern und stärkten zugleich deren rechtliche Position. Dies erfolgte mittels der “Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities”, die der US-Präsident Biden am 7. Oktober 2022 erlassen hat. Für EU-Bürger, deren personenbezogene Daten in die USA übermittelt werden, bringt diese neue Executive Order insbesondere die folgenden Verbesserungen mit sich:
- Verhältnismäßigkeit: US-Geheimdienste müssen nun auch bei EU-Bürgern überprüfen, ob der Zugriff auf ihre Daten verhältnismäßig ist.
- Beschwerdeverfahren: Auf der ersten Ebene können EU-Bürger eine Beschwerde beim “Civil Liberties Protection Officer” der US-Geheimdienste einreichen. Diese Person trägt die Verantwortung dafür, dass die US-Geheimdienste die Privatsphäre und Grundrechte wahren.
- Überprüfungsverfahren: Auf der zweiten Ebene haben Einzelpersonen die Möglichkeit, die Entscheidung des “Civil Liberties Protection Officer” vor dem neu geschaffenen “Data Protection Review Court” anzufechten. Dieser Überprüfungsgerichtshof wird sich aus unabhängigen Mitgliedern zusammensetzen, die aufgrund spezieller Qualifikationen ernannt und nur aus schwerwiegenden Gründen entlassen werden können, wie beispielsweise einer strafrechtlichen Verurteilung. Der Review Court ist berechtigt, Beschwerden von EU-Bürgern zu untersuchen, einschließlich der Anforderung relevanter Informationen von Geheimdiensten, und er kann verbindliche Entscheidungen treffen. So kann er beispielsweise die Löschung von Daten anordnen, wenn festgestellt wird, dass diese unter Verstoß gegen die in der Executive Order vorgesehenen Schutzmaßnahmen erhoben wurden.
Ob diese Maßnahmen das Risiko eines Datenmissbrauchs durch US-Geheimdienste ausreichend ausräumen, wird der Europäische Gerichtshof (EuGH) zu entscheiden haben. Kritiker der Datentransfers in die USA halten die Zusage jedoch für ungenügend.
Trotzdem hat sich die Rechtslage verbessert, weshalb das Urteil des EuGH zur Aufhebung des “Privacy Shield” nicht mehr ohne weiteres auf die aktuelle Situation übertragen werden kann.
Ist der Einsatz von US-Dienstleistern jetzt rechtssicher?
Momentan ist der Einsatz von US-Dienstleistern, die unter dem Data Privacy Framework zertifiziert sind, rechtssicher. Dies ist das Ergebnis der Einigung zwischen der EU und den USA, bei der die USA bessere Datenschutzmaßnahmen für EU-Bürger eingeführt haben und die EU-Kommission ein angemessenes Datenschutzniveau in den USA festgestellt hat:
Art. 45 DSGVO – Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
(1) Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung. […]
Es bestehen allerdings Bedenken hinsichtlich der Angemessenheit der Datenschutzmaßnahmen der USA. Datenschützer halten diese Maßnahmen für unzureichend, und es besteht die Möglichkeit, dass das DPF in den nächsten 3-5 Jahren vom Europäischen Gerichtshof für unwirksam erklärt wird. Dies könnte zu einer Rückkehr der Rechtsunsicherheit führen. Daher sollten Unternehmen, die US-Dienstleister einsetzen, dieses Risiko berücksichtigen.
Welche Länder sind an dem Data Privacy Framework beteiligt?
Das Data Privacy Framework ist ein Abkommen zwischen der Europäischen Union und den Vereinigten Staaten. Die beteiligten Länder sind daher die 27 Mitgliedsstaaten der EU und die USA. Es basiert auf dem Angemessenheitsbeschluss der EU-Kommission. Dennoch ist zu beachten, dass jedes EU-Land über eine eigene Datenschutzbehörde verfügt, die für die Überwachung und Durchsetzung der Datenschutzgesetze zuständig ist, einschließlich der Bestimmungen des Data Privacy Frameworks.
Auf der US-Seite ist das Handelsministerium (Department of Commerce) für die Umsetzung und Verwaltung des Abkommens zuständig.
Ist die Schweiz am Data Privacy Framework beteiligt?
Ab dem 15. September 2024 gilt das Data Privacy Framework (DPF) auch in der Schweiz. Denn das ab September 2023 geltende neue Schweizer Datenschutzgesetz (DSG) verlangt im Art. 16 DSG vergleichbare Sicherheiten für den Schutz der Schweizer Bürger bei Datentransfers ins Ausland, wie die Datenschutz-Grundverordnung (DSGVO) bei “Drittlandtransfers” in den Art. 44 bis 49 DSGVO.
Welche US-Anbieter fallen unter das Data Privacy Framework?
Anders als z.B. im Fall der Angemessenheitsbeschlüsse für die Schweiz oder Großbritannien, erstreckt sich der Beschluss zur Angemessenheit des Datenschutzes im Rahmen des DPF nicht auf die gesamten Vereinigten Staaten.
Vielmehr müssen US-Unternehmen ein Selbstzertifizierungsverfahren durchlaufen, um sich dann auf den Angemessenheitsbeschluss berufen zu können. Unternehmen mit vielen EU-Nutzern oder Kunden, wie z.B. Meta, Google, Microsoft oder Amazon sind bereits zertifiziert.
Die zertifizierten US-Unternehmen werden, wie schon bei dem Vorgänger “Privacy Shield” in einer Datenbank auf der Webseite des DPF geführt. Dort kann nach den jeweiligen Unternehmen gesucht werden. Dabei müssen auch die Angaben zur Reichweite der Zertifizierung unter dem DPF beachtet werden. So können z.B. nur bestimmte Unternehmensbereiche sich auf die Angemessenheit des Datenschutzniveaus verlassen.
Warum und wann könnte auch das DPF scheitern?
Die im vorstehenden Abschnitt genannten Verbesserungen des Datenschutzniveaus, werden von den Kritikern der US-Datenschutztransfers aus folgenden Gründen für unzureichend gehalten:
- Anderes Verständnis von Verhältnismäßigkeit: Die USA hätten ein anderes Verständnis der Verhältnismäßigkeit und es ist mit keinen keine substanziellen Änderung der Geheimdienstpraxis zu erwarten. Es werden weiterhin alle an US-Anbieter gesendete Daten weiterhin in Überwachungsprogrammen wie PRISM oder Upstream erfasst. “Verhältnismäßigkeit” sei daher bloß eine hohle Phrase, die nicht den Ansprüchen des Art. 52 GrCH und damit des EuGH entspricht.
- Kein Zugang zum Gericht: Es wird darauf hingewiesen, dass das “Data Protection Review Court” kein Gericht, im Sinne eines von der Regierung unabhängigen Entscheidungsorgans sei. Viel untersteht es, genauso wie die Geheimdienste, der Regierung. Damit sei das Grundrecht auf einen Rechtsweg gem. Art. 47 der Grundrechtecharta der EU (GRCh) nicht gewahrt, da dort ein Zugang zu einem unparteiischen Gericht und nicht einer, wenn auch mit mehr Unabhängigkeit ausgestatteten, Behörde, verlangt wird.
- “Bloß” eine Verordnung: Ferner wird darauf hingewiesen, dass die “Executive Order” kein in einem parlamentarischen Verfahren entstandenes und damit kein robustes Gesetz sei. So könnte der nächste US-Präsident eine solche Exekutive Order seines Vorgängers wieder aufheben. Damit wären die bereits in den USA befindlichen Daten der EU-Bürger gefährdet.
Die Kritik geht vor allem seitens der gemeinnützigen Organisation none of your business (noyb). Ihr steht Max Schrems vor, ein Österreichsicher Jurist, der bereits die zwei Vorgänger der DPF vor dem EuGH zu Fall brachte. Da die vorhergehenden Entscheidungen die Bezeichnungen “Schrems I” und “Schrems II” trugen, wird im Hinblick auf das DPF bereits von “Schrems III” gesprochen.
Datenschutzpolitik: Alle Fragen rund um das DPF sind stark mit politischen Interessen verwoben. So könnte man den Kritikern entgegnen, dass die staatlichen Zugriffe der Behörden in der EU mittlerweile derart ausgeweitet werden, dass sich das EU-Datenschutzniveau dem Datenschutzniveau in den USA nach unten sinkend angenähert hat.
Was sagt der Europäische Datenschutzausschuss zum DPF?
Am 28. Februar 2023 äußerte sich der Europäische Datenschutzausschuss (EDSA) in einer ausführlichen Erklärung zu dem Entwurf des Angemessenheitsbeschlusses für den Datentransfer zwischen der EU und den USA und veröffentlichte dazu eine Pressemitteilung.
Der EDSA hat noch einige Anliegen und Bedarf an Klarstellungen, aber im Großen und Ganzen sind die Verbesserungen im Entwurf willkommen. Das kann durchaus als ein positives Zeichen für das DPF gewertet werden.
Es ist hervorzuheben, dass der EDSA nicht generell gegen das neue Abkommen ist. Allerdings macht der EDSA seine Zustimmung vom tatsächlichen und praktischen Vollzug der von den USA vorgeschlagenen Anpassungen abhängig, etwa im Hinblick auf die Definition von Verhältnismäßigkeit und die Reaktion auf Ersuche um Abhilfe.
Zusammenfassend lässt die Stellungnahme des EDSA auf einen optimistischen Ausblick schließen, da das Abkommen die Hauptkritikpunkte des “Schrems II”-Urteils berücksichtigen würde. Dies könnte dazu führen, dass sowohl die Kommission als auch die Wirtschaft einer eventuellen Überprüfung durch den EuGH mit größerer Zuversicht entgegensehen.
Allerdings ist die Stellungnahme des EDSA für den EuGH nicht bindend, so dass das DPF dennoch für unwirksam erklärt werden könnte.
Der Europäische Datenschutzausschuss: Der Europäische Datenschutzausschuss (EDSA), englisch European Data Protection Board (EDPB), ist eine EU-Institution, die im Rahmen der Allgemeinen Datenschutzverordnung (DSGVO) eingerichtet wurde. Der EDSA hat das Ziel, die Anwendung der DSGVO in der gesamten Europäischen Union zu gewährleisten und zu harmonisieren. Dazu gehört auch, dass er dazu beiträgt, dass die Datenschutzbehörden der EU-Mitgliedstaaten in wichtigen Fragen einheitlich handeln. Der Ausschuss besteht aus den Leitern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten. Der EDSA gibt Leitlinien heraus, die dazu dienen, die DSGVO zu interpretieren und anzuwenden. Er kann auch Stellungnahmen zu allgemeinen Fragen des Datenschutzes abgeben und trägt zur Entwicklung von Standards im Bereich des Datenschutzes bei.
Was passiert, wenn das Data Privacy Framework für unwirksam erklärt wird?
Wenn das Data Privacy Framework für unwirksam erklärt wird, könnten Unternehmen, die Daten zwischen der EU und den USA übertragen, in eine rechtliche Grauzone geraten. Sie müssten erneut nach alternativen Mechanismen suchen, um die Rechtmäßigkeit ihrer Datentransfers zu gewährleisten.
Dies könnte bedeuten, dass sie auf andere Instrumente wie Standardvertragsklauseln zurückgreifen müssen oder dass sie ihre Datenverarbeitungspraktiken überdenken müssen, um sicherzustellen, dass sie den Datenschutzgesetzen in beiden Regionen entsprechen.
Standardvertragsklauseln – Notanker oder obsolet?
Die Standardvertragsklauseln waren die Grundlage für die meisten Datentransfers in die USA. Doch zuletzt wurden sie zunehmend in Frage gestellt, u.a. in den folgenden Verfahren:
- Entscheidung der Irischen Datenschutzbehörde: Die Irische Datenschutzbehörde hat ein Bußgeld von 1,2 Mrd. Euro und eine Untersagung von Datentransfers in die USA gegen den Konzern Meta angeordnet. Sie befand, dass die Standardvertragsklausel als vertragliche Verpflichtungen keinen hinreichenden Schutz für EU-Bürger boten.
- Urteil des LG Köln: Das Landgericht Köln hat im Hinblick auf den Dienst Google Analytics entschieden, dass “Standardvertragsklauseln” als vertragliche Datenschutzverpflichtungen keinen ausreichenden Schutz vor US-Geheimdiensten bieten können (LG Köln Urteil vom 23.03.2023, 33 O 376/22).
Die Verfahren könnten so verstanden werden, dass die Standardvertragsklauseln obsolet geworden sind. Da jedoch im Rahmen des DPF die USA tatsächlich Maßnahmen zur Steigerung des Datenschutzniveaus ergriffen haben, hat sich die Sach- und Rechtslage auch im Hinblick auf die Standardvertragsklauseln positiv verändert.
Der Europäische Datenschutzausschuss verweist darauf, dass diese positiven Maßnahmen sich auch auf andere Instrumente für Datentransfers auswirken. D.h. ebenso wie die EuGH-Urteile zu den Vorgängern des DPF, können auch diese Entscheidungen nicht mehr direkt auf den Einsatz der Standardvertragsklauseln nach übertragen werden.
Allerdings, sollten der EuGH auch nach DPF den Datenschutz in den USA für unzureichend für EU-Bürger befinden, würden auch wieder die o.g. Kritik an den Standardvertragsklauseln aufleben. Jedoch sind sie dann zumindest ein Notanker, da immerhin noch in der Welt, während das DPF dann als Grundlage der EU-Datentransfers aufgehoben wäre.
Begriff und Bedeutung von Standardvertragsklauseln: Bei den Standardvertragsklauseln (im Gesetz als “Standardschutzklauseln” bezeichnet, Art. 46 Abs. 2 lit. c DSGVO) handelt es sich um Musterverträge, die im Fall von Transfers personenbezogener Daten (nachfolgend kurz “Daten”) durch “Datenexporteure” an “Datenimporteure” in Drittländer (also einem Land außerhalb der EU/EWR) erforderlich werden. D.h. wenn z.B. Kundendaten auf dem Server eines US-Anbieters gespeichert werden oder US-Anbietern Zugriff auf diese Daten gewährt wird, dann muss mit den US-Anbietern ein Vertrag auf Grundlage der Standardvertragsklauseln geschlossen werden (zu anderen Alternativen s.u.). Dabei verpflichten sich die US-Anbieter das EU-Datenschutzniveau bei der Verarbeitung der maßgeblichen Daten einzuhalten.
Sollte ein “Transfer Impact Assessment” durchgeführt werden?
Die Standardvertragsklauseln brachten eine Pflicht zur Prüfung und Nachweis des tatsächlich hinreichenden Datenschutzniveaus mit sich (sog. “Transfer Impact Assessment”, kurz TIA, auf Deutsch “Datentransfer-Folgeabschätzung” bezeichnet). Der im Rahmen des Data Privacy Frameworks getroffene Beschluss der EU-Kommission, sieht eine solche Prüfung dagegen nicht vor.
Allerdings besteht das Risiko, dass das DPF vom EuGH für unwirksam erklärt wird. Dann würde das bedeuten, dass alle anderen US-Datentransfers, die sich auf das DPF stützten, ebenfalls rechtswidrig waren.
Daher ist es zu empfehlen vor dem Einsatz von US-Anbietern wie bisher das Vorhandensein eines hinreichenden Datenschutzniveaus nicht nur auf Grundlage des DPF, sondern auch der Standardvertragsklauseln oder anderer Rechtsgrundlagen (z.B. Einwilligung oder Vertragserfüllung) zu prüfen und zu bejahen.
Das gilt insbesondere für größere Unternehmen bei denen auch die potentielle Haftung von Geschäftsführern oder leitenden Angestellten durch Nachweis einer Datenschutz-Compliance aus Gründen der Haftungsvermeidung erforderlich ist.
Auch wenn das Data Privacy Framework einen rechtlich sicheren Rahmen bietet, ist es wichtig, dass Unternehmen weiterhin ihre eigenen US-Dienstleister und Daten-Transfers überprüfen sowie bewerten. Ein “Transfer Impact Assessment” kann dabei helfen, potenzielle Risiken und Auswirkungen von Datentransfers auf die Privatsphäre zu identifizieren und zu bewerten. Es ist ein wertvolles Instrument, um sicherzustellen, dass Sie die Datenschutzanforderungen vollständig verstehen und erfüllen.
Muss ich mit Bußgeldern rechnen?
Der Angemessenheitsbeschluss der EU-Kommission im Hinblick auf Datentransfers ist kein Gesetz. Allerdings, solange es nicht für unwirksam erklärt wurde, stellt es eine DGSVO-konforme Grundlage für die Übermittlung von Daten in die USA dar.
Es ist davon auszugehen, dass zumindest die deutschen Datenschutzbehörden das Datenschutzniveau in den USA weiterhin für unzureichend halten werden. Allerdings müssen Sie keine Bußgelder oder Untersagungen des Einsatzes von US-Anbietern fürchten, sofern diese dem Data Privacy Framework unterfallen.
Das gilt zumindest das Data Privacy Framework nicht vom EuGH für unwirksam erklärt worden ist. Danach muss die Nutzung von US-Diensten neu bewertet werden. Zum Problem könnte dann z.B. werden, dass Ihr Unternehmen eng mit US-Unternehmen verzahnt sind und in Ihrer Verantwortung verarbeitete Daten sich auf Servern in den USA befinden. Dann könnten Sie je nach der dann herrschenden Sach- und Rechtslage in diesem Fall sofort gegen die DSGVO-Verstoßen.
Was, wenn ich dauerhafte Rechtssicherheit haben will?
Wie seine Vorgänger besteht auch beim DPF das Risiko, das es wegen eines unzureichenden Schutzniveaus in den USA aufgehoben wird. Dann würde wieder eine rechtliche “Hängepartie” beginnen, in der große Unsicherheit herrscht, ob und wie US-Dienstleister eingesetzt oder sonst Daten in die USA transferiert werden dürfen.
Wenn Sie sich diese Unsicherheit ersparen möchten, dann sollten Sie nur Dienstleister und Dienste einsetzen, die Ihre Daten in der EU speichern und nicht gegenüber den US-Geheimdiensten zur Gewährung eines Datenzugangs verpflichtet sind.
Dabei sollten Sie auch überprüfen, ob die EU-Dienste nicht selbst US-Dienstleister als Subunternehmer einsetzen. Denn dann würden Sie doch Verantwortung für US-Datentransfers tragen.
Muss ich meine Datenschutzerklärung aktualisieren?
Der Hinweis auf einen Angemessenheitsbeschluss bei Transfers von Daten in Drittländer gehört zu den Pflichtangaben in einer Datenschutzerklärung (Art. 13 Abs. 1 lit. f DSGVO).
[…] teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: […] Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission [..].
Daher sollten Sie bei der Angabe der Empfänger Ihrer Datenübermittlungen (ebenfalls eine Pflichtangabe nach Art. 13 Abs. 1 lit. e DSGVO) ebenfalls mitteilen, ob sie in den Anwendungsbereich des von dem Angemessenheitsbeschluss der Kommission, also unter das DPF fallen.
Muss ich mein Verzeichnis von Verarbeitungstätigkeiten aktualisieren?
Entsprechend den Ergänzung Ihrer Datenschutzerklärung sollten Sie auch Ihr Verzeichnis von Verarbeitungstätigkeiten aktualisieren. Auch dort sollten die US-Anbieter und sonstige US-Datentransfers aufgeführt und deren Rechtmäßigkeit begründet werden. Dazu gehört ebenfalls die Angabe des Angemessenheitsbeschlusses der EU-Kommission als Rechtsgrundlage.
Verzeichnis von Verarbeitungstätigkeiten: Das Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 der DSGVO ist ein Dokument, das eine Übersicht über die Datenverarbeitungsaktivitäten eines Unternehmens enthält. Es umfasst Informationen zu Zwecken, Datenkategorien, Empfängern und anderen relevanten Details. Das Verzeichnis ist erforderlich, wenn personenbezogene Daten verarbeitet werden. Es muss aktuell gehalten und den Aufsichtsbehörden zur Verfügung gestellt werden können. Eine Aktualisierung ist bei Änderungen, einschließlich der Umstellung auf Google Analytics 4, notwendig, um die Datenschutzvorschriften einzuhalten.
Zusammenfassung der wichtigsten Fakten zum DPF
Die folgende Liste bietet Ihnen eine Übersicht zu den Wichtigsten Eckpunkten des DPF:
- Das ” Data Privacy Framework” ist der Name einer Vereinbarung zwischen den USA und der EU.
- Die USA haben in diesem Rahmen bessere Schutzmaßnahmen zugunsten von EU-Bürgern eingeführt.
- Die EU-Kommission hat im Gegenzug ein angemessenes Datenschutzniveau in den USA festgestellt (sog. Angemessenheitsbeschluss).
- US-Unternehmen müssen sich (selbst)zertifizieren lassen, um sich auf das DPF berufen zu können.
- US-Dienstleister, die unter dem DPF zertifiziert sind, können durch EU-Unternehmen eingesetzt werden.
- In der Datenschutzerklärung sowie dem Verzeichnis von Verarbeitungstätigkeiten sollte bei den Hinweisen auf die eingesetzten US-Anbieter auf das DPF als Grundlage hingewiesen werden.
- Kritiker haten die Datenschutzmaßnahmen der USA für unzureichend, weshalb das Risiko besteht, dass das DPF wie seine Vorgänger vom EuGH für unwirksam erklärt wird.
- Daher sollten beim Einsatz von US-Anbieter mit der Wahrscheinlichkeit gerechnet werden, dass in ca. 3-5 Jahren das DPF für unwirksam erklärt und die Rechtsunsicherheit zurückkehren wird.
- Aus dem Grund sollten Unternehmen oder Behörden beim Einsatz von US-Diensten eine Datentransfer-Folgeabschätzung (sog. “Transfer Impact Assessment”, kurz TIA) erstellen.
Fazit und Praxisempfehlung
Das Data Privacy Framework stellt einen wichtigen Schritt zur Rechtssicherheit beim Datentransfer zwischen der EU und den USA dar. Es bietet einen strukturierten und rechtlich anerkannten Mechanismus für den Transfer personenbezogener Daten, was besonders wichtig ist, wenn Sie Dienste von US-Anbietern, wie z.B. Google, Meta, Microsoft oder Amazon nutzen, die personenbezogene Daten verarbeiten.
Allerdings ist es nicht unwahrscheinlich, dass es nur eine Rechtssicherheit auf Zeit ist. Sie hängt sowohl von der Datenschutzpolitk des nächsten US-Präsidenten ab als auch davon, ob das EuGH die bis dato getroffenen Datenschutzmaßnahmen der USA für ausreichend halten wird.
Für Sie bedeutet es, dass der Einsatz von US-Unternehmen vorerst sicherer sein wird. Um sich gegen künftige Unwägbarkeiten zu wappnen, bleibt nur der Wechsel zu EU-Anbietern. Da es hier häufig keine adäquaten Alternativen gibt, wird die Frage des Einsatzes von US-Anbietern auch in der Zukunft ein “Betriebsrisiko” vieler Unternehmen, Behörden und anderer Verantwortlichen bleiben.
Tipp für mehr Rechtssicherheit
Mit unseren Generatoren rechtssichere Datenschutzerklärungen oder Shop-AGB erstellen und die folgenden Vorteile genießen: vom Anwalt mit Siegel kein Abo Dokumente ohne zeitliches Limit nutzbar Download als Word-Datei oder PDF Nachträgliche Bearbeitung der Eingaben.
In unserem Shop erhalten Sie eine Übersicht unserer Angebote: