usa scc standardvertragsklauseln trans-atlantic data protection framework tadpf eu-us data protection framework dpf

Datenschutzabkommen zwischen der EU und den USA steht

/von

[Update 17.07.2023]

Wir haben den Artikel auf den aktuellen Status (Privacy-Shield-Webseite offline, DPF-Webseite online) aktualisiert. Leider sind damit auch die ursprünglich verlinkten Informationen des U.S. Department of Commerce nicht mehr erreichbar (hier der nicht mehr funktionierende Link: https://www.privacyshield.gov/NewsEvents).

[Ende Update]

Als Anfang des Jahres 2022 durch die EU-Kommission und den US-amerikanischen Präsidenten verkündet wurde, dass man sich über die wesentlichen Punkte eines neuen Datenschutzabkommens geeinigt habe, war die mediale Aufmerksamkeit groß. Beispielsweise hat die Tagesschau am 25.03.2022 darüber recht ausführlich hier berichtet.

Insbesondere diejenigen Verantwortlichen in der EU, die Dienste von US-amerikanischen Unternehmen nutzen und in diesem Zusammenhang personenbezogene Daten in die USA übermitteln, hatten nach dieser Nachricht gehofft, dass es schnell ein Nachfolgeabkommen für das durch den EuGH für ungültig erklärte und bis 2020 gültige Abkommen „Privacy Shield“ geben werde. Denn seitdem die Datenübermittlungen in die USA nicht mehr auf das „Privacy Shield“ gestützt werden konnten, konnten die Verantwortlichen Datentransfers in die USA nur noch mit viel Rechtsakrobatik und nicht ohne Restrisiko durchführen. Wer kein Risiko eingehen wollte, dem blieb nur der Verzicht auf die Übermittlung personenbezogener Daten in die USA.

In unserem Artikel vom 17.01.2023, in dem wir auf die aktuellen Entwicklungen im Zusammenhang mit dem Abkommen namens “EU-U.S. Data Privacy Framework” (EU-U.S. DPF) eingegangen sind (vor allem aber auch auf diverse Kritikpunkte), haben wir uns in der Rolle des Nostradamus versucht. Wir sind damals davon ausgegangen, dass die Abstimmung zu dem neuen Abkommen, welches die Probleme mit den Datentransfers in die USA lösen sollte, mehrere Monate in Anspruch nehmen und ein wirksamer Angemessenheitsbeschluss nicht eher als im Sommer 2023 vorliegen wird.

Wie man nun sieht, lagen wir mit unserer „Prophezeiung“ gar nicht so falsch, wobei wir von der Geschwindigkeit, mit welcher der Beschluss dann kam, doch etwas überrascht wurden. Nun denn – das Warten hat ein Ende. Die EU-Kommission hat am 10.07.2023 den Angemessenheitsbeschluss mit einem Namen, der sich nicht so locker, wie ein „Privacy Shield“ aussprechen lässt, angenommen und diesen auf ihrer Webseite hier (zunächst nur in englischer Sprache) veröffentlicht.

Mit dem EU-U.S. DPF haben wir nun das dritte Abkommen, das nach „Safe Harbor“ und „Privacy Shield“ die Datentransfers in die USA ermöglicht und den USA ein angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten, die dem Schutzbereich der Datenschutz-Grundverordnung (DSGVO) unterliegen, bescheinigen soll.

Ist Datenübermittlung in die USA nun uneingeschränkt möglich?

Im Zusammenhang mit dem Abschluss des neuen Abkommens stellt sich die Frage, ob die Datenübermittlung in die USA ohne weiteres an jeden Datenempfänger mit Sitz in den Vereinigten Staaten von Amerika möglich wäre oder aber doch etwas zu beachten wäre.

Die Antwort auf die Frage lautet: Nein, einfach an jeden US-Empfänger personenbezogene Daten auf der Grundlage des EU-U.S. DPF zu übermitteln, geht nach wie vor nicht, denn auch der neue Angemessenheitsbeschluss verfolgt genau wie seine Vorgänger einen sogenannten sektoralen Ansatz.

Danach dürfen die personenbezogenen Daten auf der Grundlage des EU-US DPF an Empfänger in den USA nur übermittelt werden, die sich beim U.S. Department of Commerce (dem Handelsministerium der Vereinigten Staaten also) im Rahmen einer Selbst-Zertifizierung zertifiziert haben.

Das bedeutet, dass sofern ein Datenempfänger in den USA nicht in der Liste des U.S. Department of Commerce zu finden ist und demnach nicht nach dem EU-U.S. DPF zertifiziert ist, die Drittlanddatenübermittlung an diesen Empfänger auf der Grundlage eines anderen Rechtsinstruments erfolgen muss. Welche Möglichkeiten es hier gibt, haben wir in unserem Artikel vom 20.07.2020 im Zusammenhang mit dem Urteil des EuGH zum Privacy Shield ausführlich erläutert.

Die Liste der Unternehmen, die nach dem EU-U.S. DPF zertifiziert sind, ist seit dem 17.07.2023 zu finden unter https://www.dataprivacyframework.gov/s/.

Interessant ist, dass Empfänger, die sich bereits unter dem Privacy-Shield zertifiziert hatten, „automatisch“ auch unter EU-U.S. DPF zertifiziert sind. Das U.S. Department of Commerce hatte dazu erläutert, dass für bereits nach Privacy-Shield zertifizierte Unternehmen zur Teilnahme am EU-US DPF keine gesonderte Selbstzertifizierung erforderlich ist [Anm.: leider wurde zwischenzeitlich die Seite mit dieser Information offline genommen). An diese Empfänger können die Daten also ab sofort übermittelt und die Übermittlung auf den neuen Angemessenheitsbeschluss gestützt werden. Seit die DPF-Webseite freigeschaltet wurde, lässt sich dies auch auf der Seite überprüfen.

Seit dem 14.07.2023 ist nun die ehemalige Privacy-Shield-Webseite offline und leitet auf die DPF-Webseite um.

Was sind die nächsten Schritte für Verantwortliche?

Jetzt stellt sich bei vielen die Frage: Müssen Verantwortliche, die personenbezogene Daten in die USA übermitteln, etwas unternehmen?

Ja, das ist erforderlich. Wir empfehlen die Umsetzung der folgenden Maßnahmen:

  1. Überprüfen Sie als für die Verarbeitung Verantwortlicher nach der DSGVO, ob Datenübermittlungen in die USA auf der Grundlage des EU-U.S. DPF möglich sind. Hierzu schauen Sie bitte hier, ob der Empfänger, an den Sie die Daten übermitteln, in der Liste des Handelsministeriums der Vereinigten Staaten aufgeführt ist. Bitte dokumentieren Sie die Prüfung und notieren Sie sich das Datum, zu dem die Zertifizierung ausläuft für eine Folgeüberprüfung.
    Ist der Empfänger auf der Liste, ist alles (zumindest formal) in bester Ordnung und Sie können die Daten ohne weiteres übermitteln.
    Doch damit heißt es leider nicht, dass Sie keine weiteren To-Dos haben, denn im nächsten Schritt müssten Sie noch Folgendes erledigen:
  2. Aktualisieren Sie alle Informationen gem. Artt. 12 ff. DSGVO, denn bisher haben Sie die Daten entweder auf der Grundlage der Standardvertragsklauseln oder aber einer Einwilligung gem. Art. 49 Abs. 1 lit. a DSGVO übermittelt und das sollte in Ihren Datenschutzhinweisen entsprechend auch bislang so stehen. Bei manchen Verantwortlichen steht (selbst heute noch) „Privacy Shield“ bei den Garantien für die Übermittlung. In diesem Fall sind Sie in der Vergangenheit ein hohes Risiko eingegangen, haben aber offenbar Glück gehabt und es jetzt sehr einfach: Sie müssen lediglich die Bezeichnung des Abkommens ändern.
  3. Vergessen Sie nicht, dass die Consent-Manager (Einwilligungs-Manager) auf den Webseite ebenfalls angepasst werden müssen. Die bisher oft eingeholten Einwilligungserklärungen sind oft nicht mehr erforderlich oder zumindest (s. die vorangegangenen zwei Punkte) zu aktualisieren.
  4. Überprüfen Sie Ihre betrieblichen Prozesse:
    Vielfach werden „reflexartig“ Einwilligungen in die Datenübermittlung in die USA eingeholt (beispielsweise im Rahmen der Veröffentlichung von Foto- oder Videoaufnahmen). Das heißt, neben der Marketing-Abteilung müssen auch die Personalabteilung, die IT sowie gegebenenfalls weitere Abteilungen informiert werden und prüfen, ob Handlungsbedarf besteht.
  5. Gegebenenfalls sollten auch die bestehenden Auftragsverarbeitungsverträge (oder auch bestehende Vereinbarungen gemäß Art. 26 DSGVO bei gemeinsamer Verantwortlichkeit angepasst werden, sofern es um Angaben bezüglich der Sicherstellung des angemessenen Schutzniveaus im Zielland (namentlich USA) geht. Gegebenenfalls sollte dann auf das neue Abkommen und nicht mehr auf die Standardvertragsklauseln oder eine Einwilligung bzw. ein anderes Rechtsinstrument verwiesen werden.
  6. Sollte Ihr Empfänger nicht in der Liste des US-Handelsministeriums stehen, so müssen Sie – wie oben bereits ausgeführt – auf andere Rechtsinstrumente zurückgreifen und die Datenübermittlung entsprechend organisieren. Die Folge wäre vermutlich in den meisten Fällen (das sollte aber bitte überprüft werden), dass Sie einfach gar nichts machen müssen, da Sie diesen Fall ja in der Vergangenheit bereits berücksichtigt und umgesetzt hatten. Dafür besteht aber auch das in der Vergangenheit eingegangene Risiko für Sie unverändert weiter.

Fazit

Nach langer Zeit haben wir zumindest in formaler Hinsicht Rechtssicherheit und eine Situation, in der Fakten geschaffen wurden. Damit haben sich aber freilich die Probleme, die im Zusammenhang mit der Datenübermittlung in die USA bestehen, nicht komplett erledigt. Denn es ist nach unserer Auffassung nur eine Frage der Zeit, bis das neue Abkommen wie seine Vorgänger auf dem Prüfstand des EuGH steht.

Dass auch das neue Abkommen durch den EuGH „gekippt“ wird, ist keinesfalls ausgeschlossen, denn es ist nicht klar, ob alle in der Vergangenheit existierenden Probleme mit dem neuen Abkommen behoben wurden (siehe hierzu unseren Artikel vom 17.01.2023). Insbesondere die Datenschutz-NGO „NOYB – Europäisches Zentrum für digitale Rechte“ (noyb) hat hier rechtliche Schritte gegen den neuen Angemessenheitsbeschluss angekündigt und zu den Problemen des EU-U.S. DPF, die aus Sicht von noyb bestehen, Stellung genommen. „Ursula und Joe greifen in die Trickkiste“, um das Abkommen durchzubringen, so noyb.

Verantwortlichen, die das Risiko eines nunmehr dritten möglichen „Schiffbruchs“ des Angemessenheitsbeschlusses für die USA nicht eingehen wollen, bleibt nach wie vor, nur der Verzicht auf die Übermittlung personenbezogener Daten in die USA. Vielleicht sollte man all die angefertigten TIAs nicht sofort wegwerfen oder löschen – es ist gut möglich, dass wir sie noch mal benötigen werden.

 

 


Diesen Beitrag teilen

Das könnte Dich auch interessieren
e-mail marketing einwilligung informationspflichten 7 uwgFallen beim E-Mail-Marketing gegenüber Bestandskunden
ds-gvo one stop shop oss bdsg-neu datenschutzbeauftragter benennung bestellpflicht werbung drittstaaten transfer google analytics verbotenSind Drittstaatenübermittlungen aktuell überhaupt rechtssicher möglich?
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichFrist für die Erteilung von Auskünften: Unverzüglich
schadenersatz betroffenenrechte auskunftsrecht löschrechtBetroffenenrechte – Beginn der Frist zur Beantwortung
cookies einwilligung nachweis consentmanagerConsentmanager – Einwilligung zur Datenübermittlung in Drittstaaten
usa scc standardvertragsklauseln trans-atlantic data protection framework tadpf eu-us data protection framework dpfDatenübermittlung in die USA – Privacy Shield-Nachfolger EU-US DPF