Mauß Datenschutz GmbH
  • Über uns
  • Hinweisgebersystem
  • Websitemonitoring
  • Kontakt
  • Blog
  • Newsletter
  • Impressum
  • Datenschutzhinweise
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
dpf data privacy framework

Kann das Data Privacy Framework wirklich als Grundlage für die Übermittlung in die USA genutzt werden?

26. Oktober 2023/von Datenschutzbeauftragter/tma

Kurzer Spoiler für alle, die nicht zu viel lesen wollen: Die Antwort lautet „ja“. Weitere Details beziehungsweise Hintergründe finden sich dann im folgenden Text.

Seit dem 10. Juli 2023 gilt der neue Angemessenheitsbeschluss EU-U.S. Data Privacy Framework (DPF) für Datentransfers in die USA für Unternehmen, die den Zertifizierungsprozess durchlaufen haben. Die Verhandlungen zwischen der EU-Kommission und der US-Regierung haben weit über ein Jahr benötigt. Im Ergebnis verspricht die US-Regierung, die Zugriffe auf personenbezogene Daten der Geheimdienste und Ermittlungsbehörden der USA auf das notwendige Maß einzuschränken. Weitere Details zum DPF und den Verhandlungsprozess finden Sie hier, hier und hier.

Und jetzt geht wieder alles wie früher?

Die Aussage hinter dem DPF ist: „Wenn Sie Daten an einen Empfänger in den USA übermitteln möchten und dieser Empfänger sich auf der Zertifizierungsliste findet, können Sie das so tun, wie bei jedem anderen Angemessenheitsbeschluss auch“. Dennoch bleibt aktuell bei vielen Verantwortlichen stets ein schlechtes Bauchgefühl. Letztes Jahr wurden Unternehmen mehr oder weniger damit erpresst, Schmerzensgelder zu leisten, weil auf der Webseite Google-Fonts verwendet wurde und damit die IP-Adresse an Google in die USA übermittelt worden sein soll. Ausgelöst wurde dies durch ein Urteil des LG München im Januar 2022, hier unser damaliger Artikel dazu. Und nun mit dem DPF soll es von jetzt auf gleich wieder problemlos möglich sein? Google-Fonts soll wieder vollkommen ohne Einwilligung als extern genutzter Schriftarten-Service eingebunden werden können? Mit der Rechtsgrundlage „berechtigtes Interesse“ (Art. 6 Abs. 1 lit. f DSGVO)? Wir können absolut nachvollziehen, dass hier unter Umständen Hemmungen bestehen.

Der HmbBfDI sagt: „Na klar!“

An dieser Stelle möchten wir auf eine Pressemitteilung des Hamburgischen Beauftragten für den Datenschutz und die Informationsfreiheit (HmbBfDI, die hamburgische Datenschutzaufsichtsbehörde) vom 19.09.2023 hinweisen. Diese hätte unseres Erachtens in der Datenschutz-Welt für deutlich mehr positive Aufmerksamkeit sorgen können, als sie es letztlich getan hat. Der HmbBfDI teilt in der Pressemitteilung mit, dass er einen laufenden Rechtsstreit mit der Hamburgischen Senatskanzlei vor dem Verwaltungsgericht Hamburg beigelegt hat. Er schreibt darin:

Am 10.7.2023 hat die Europäische Kommission einen sog. Angemessenheitsbeschluss („Adequacy decision for the EU-US Data Privacy Framework“) gem. Art. 45 Abs. 1 DSGVO [hier der Link zum Verordnungstext] bekannt gegeben. Danach bietet die USA nun ein angemessenes Datenschutzniveau, die Übermittlung personenbezogener Daten in die USA ist auf dieser Grundlage wieder möglich. Damit hat sich die Rechtslage gegenüber 2021 geändert, die tragenden Gründe der „Warnung“ aus August 2021 sind jedenfalls gegenwärtig entfallen.

HmbBfDI und Senatskanzlei haben sich vor diesem Hintergrund darauf verständigt, dass eine Fortführung des Rechtstreits nicht mehr zielführend ist. Insbesondere besteht kein Interesse daran, gerichtlich für die Vergangenheit klären zu lassen, ob die „Warnung“ unter der alten Rechtslage zutreffend war oder nicht.

Anders formuliert: „Es gibt jetzt einen Angemessenheitsbeschluss und Zoom ist zertifiziert und kann damit genutzt werden“. Der Nachsatz bescheinigt dem HmbBfDI darüber hinaus, dass er sorgsam mit Steuergeldern umgeht und einen nun sinnlosen Rechtsstreit nicht zuende führt, nur weil er Recht behalten möchte, dass die Nutzung in der Vergangenheit (ohne DPF) unzulässig war.

Diese Entscheidung könnte zwar in der Zukunft wieder an Relevanz gewinnen, da bereits angekündigt wurde, gegen das DPF vorgehen zu wollen. Sofern es aber erneut zu einem Urteil des EuGH kommt, der zum Wegfall des DPF führt, wie bereits bei den zwei Vorgängerabkommen Safe Harbour (das war in 2016, diesen alten Artikel haben wir bereits gelöscht, daher hier kein Link darauf…) und Privacy Shield geschehen, gehen wir davon aus, dass sich die Datenschutz-Welt so stark weiter gedreht hat, dass es sinnvoll ist, diesen Streit erst dann zu führen, wenn er zu einem Urteil führt, welches die dann geltenden Rahmenbedingungen berücksichtigt.

Fazit

Zurück zum ersten Satz dieses Artikels: Mit dem HmbBfDI akzeptiert also eine Datenschutzaufsichtsbehörde das DPF ganz offiziell. Wir gehen aktuell davon aus, dass Übermittlungen an nach DPF zertifizierte Empfänger ebenso problemlos möglich sind, wie bei jedem anderen Angemessenheitsbeschluss auch. Wie lange das gilt, wissen wir leider nicht. Wir gehen aktuell davon aus, dass wir bis mindestens Ende 2024 Ruhe haben werden. Daher lautet die Empfehlung auch, bestehende andere Garantien gemäß Kapitel 5 DSGVO sowie die dazugehörenden Transfer Impact Assessments (TIA) bestehen zu lassen und gegebenenfalls sogar weiter zu pflegen.

https://datenschutzbeauftragter-hamburg.de/wp-content/uploads/2021/06/flag-1291945-scaled.jpg 1795 2560 Datenschutzbeauftragter/tma /wp-content/uploads/2016/06/datenschutz_hamburg_logo.png Datenschutzbeauftragter/tma2023-10-26 08:39:302023-10-27 09:17:43Kann das Data Privacy Framework wirklich als Grundlage für die Übermittlung in die USA genutzt werden?
Das könnte Sie auch interessieren
Ein uniformierter Arm greift aus den USA auf Daten in der EU zu EU-Boundary nichts wert? Microsoft kann US-Zugriff auf EU-Cloud nicht verhindern
usa scc standardvertragsklauseln trans-atlantic data protection framework tadpf eu-us data protection framework dpf Das „Trans-Atlantic Data Privacy Framework“ – oder: Wann kommt „Schrems 3“?

Bitte beachten Sie

Unsere Beiträge sind stets als allgemeine Information zu verstehen. Sie stellen die persönliche Meinung der jeweiligen Autor*innen dar und können eine professionelle Datenschutzberatung nicht ersetzen. Für die Korrektheit übernehmen wir keine Gewähr. Alle Informationen basieren auf unserem Wissensstand zum Zeitpunkt der Veröffentlichung. Sie können möglicherweise durch Rechtsprechung, Aussagen der Aufsichtsbehörden zum Datenschutz, geänderte Gesetzgebung oder ähnliches nicht mehr aktuell sein. Dies gilt insbesondere mit zunehmendem zeitlichen Abstand zum Veröffentlichungszeitpunkt.

Melden Sie sich für unseren kostenlosen Newsletter an

Abonnieren Sie unseren kostenlosen Newsletter.

Selbstverständlich können Sie sich jederzeit wieder abmelden. Für alle weiteren Details beachten Sie bitte unsere Datenschutzhinweise.

Sie erhalten in den nächsten Minuten eine E-Mail mit einem Bestätigungs-Link. Bitte prüfen Sie Ihren Posteingang und ggf. auch den Spamordner. Bitte klicken Sie den Bestätigungs-Link an, um Ihr Abonnement zu bestätigen. Erst danach ist das Abonnement aktiv. Vielen Dank für Ihr Interesse an unserem Newsletter. Mauß Datenschutz GmbH

Suchen

Search Search

Kontakt

Mauß Datenschutz GmbH

Neuer Wall 10
20354 Hamburg

Telefon:
040 / 999 99 52-0

Rechtliches

Impressum
Datenschutzhinweise

© Copyright Mauß Datenschutz GmbH | Datenschutz | Impressum | Kontakt         
Link to: Anpassung des BDSG geplant Link to: Anpassung des BDSG geplant Anpassung des BDSG geplantstandardverträge zusätzliche garantien angemessenheitsbeschluss uk scc c2p drittlandtransfers anpassung bdsg referentenentwurf schadenersatz Link to: Schulungen und Sensibilisierungen der Beschäftigten Link to: Schulungen und Sensibilisierungen der Beschäftigten externe mitarbeiter arbeitnehmerüberlassung aü leiharbeitnehmer auftragsdatenverarbeitung funktionsübertragung schulung sensibilsierungSchulungen und Sensibilisierungen der Beschäftigten
Nach oben scrollen Nach oben scrollen Nach oben scrollen