Liebe Leser und Datenschutz-Interessierte,
nun ist es endlich so weit, nach 3 Jahren des Verhandelns hat die EU-Kommission gestern einen neuen Angemessenheitsbeschluss für die USA verabschiedet (sog. EU-US. Data-Privacy Framework). Dieser Angemessenheitsbeschluss ist am 11.07.2023 in Kraft getreten.
Weitere Informationen zum verabschiedeten Angemessenheitsbeschluss, inkl. FAQ, sind abrufbar unter: https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752. Doch was war passiert?
Nachfolge-Abkommen zum EU-U.S. Privacy Shield –Hintergrund
Das EU-US Privacy Shield – der Vorgänger des neuen EU-U.S. Data Privacy Frameworks – war ein Datenschutzabkommen zwischen der Europäischen Union und den Vereinigten Staaten. Es wurde im Jahr 2016 eingeführt, um den Transfer personenbezogener Daten zwischen den EU-Mitgliedstaaten und den USA zu regeln.
Das Privacy Shield wurde entwickelt, um den Schutz personenbezogener Daten zu gewährleisten, wenn sie von Unternehmen aus der EU in die USA übertragen wurden.
Um am Privacy Shield teilnehmen zu können, mussten US-Unternehmen bestimmte Verpflichtungen eingehen, wie beispielsweise die Einhaltung von Datenschutzprinzipien, die Transparenz bei der Datenverarbeitung, die Sicherung der Datenintegrität sowie effektive Rechtsbehelfe für EU-Bürgerinnen und -Bürger bei Datenschutzverletzungen. Hierzu mussten Sie sich gegenüber der Federal Trade Commission in einem Self-Assessment verpflichten (hieran hat sich auch beim neuen Abkommen nichts geändert; eine unabhängige Prüfung der Angaben der Unternehmen findet nicht statt).
Allerdings erklärte der Europäische Gerichtshof (EuGH) im Juli 2020 das Privacy Shield für ungültig (sog. Schrems II-Urteil).
Seitdem wurden alternative Mechanismen für den Datentransfer, wie beispielsweise Standardvertragsklauseln, verwendet, um den rechtlichen Rahmen für den Transfer personenbezogener Daten zwischen der EU und den USA zu schaffen; allerdings mit zahlreichen Restrisiken. Das neue Datenschutzabkommen zwischen der EU und den USA schafft nun mehr Klarheit. Doch um was handelt es sich bei dem genannten Datenschutzabkommen eigentlich?
Was bedeutet das jetzt für die Unternehmen?
Durch einen „Angemessenheitsbeschluss“ gemäß Art. 45 DSGVO (Art. 45 DSGVO) wird festgelegt, dass ein Drittland (d. h. ein Land, das nicht an die DSGVO gebunden ist) oder eine internationale Organisation ein angemessenes Schutzniveau für personenbezogene Daten bietet. Hierdurch wird das betreffende Land (hier: USA) datenschutzrechtlich den EU-Mitgliedstaaten beim Datentransfer gleichgestellt. Das bedeutet, dass es datenschutzrechtlich folglich (erstmal) keinen Unterschied mehr macht, ob Daten bspw. nach Österreich oder in die USA übermittelt werden.
Dies erleichtert eine rechtskonforme Übermittlung von Daten in die USA deutlich, entlastet die Unternehmen und reduziert Haftungsrisiken. Aufwändige datenschutzrechtliche Prüfungen der Übermittlungen, etwa im Rahmen der Durchführung eines sog. Transfer-Impact-Assessments (TIA) dürften dadurch ab sofort entfallen, zumindest beim Vorliegen bestimmter Voraussetzungen.
Bis zur Verabschiedung mussten Unternehmen, die personenbezogene Daten in unsichere Drittstaaten wie die USA übermitteln wollten, u.a. die EU-Standardvertragsklauseln mit dem ansässigen Unternehmen schließen und zusätzliche technische, organisatorische und/oder vertragliche Schutzmaßnahmen ergänzend implementieren, um die rechtlichen Voraussetzungen gemäß Art. 44 ff. DSGVO zu erfüllen.
Gültigkeit Angemessenheitsbeschluss USA und Voraussetzungen
Denn: Der Angemessenheitsbeschluss gilt nicht für alle, sondern nur für solche US-Unternehmen, die dem EU-U.S. Data Privacy Framework aktiv beigetreten sind und sich anhand bestimmter Datenschutz-Kriterien hierfür bei der Federal Trade Commission (FTC) zertifiziert und registriert haben (https://www.dataprivacyframework.gov/s/). Will ein Unternehmen daher bspw. einen US-Dienstleister mit einer bestimmten Datenverarbeitung beauftragten (z.B. Google & Co.), so muss es sich auf der Webseite der FTC zuerst vergewissern, dass das betreffende Unternehmen nach diesen Standards zertifiziert ist und diese Zertifizierung auch noch Gültigkeit besitzt.
Registrierung / Zertifizierung EU-U.S. Data Privacy Framework
Auf der Webseite https://www.dataprivacyframework.gov/s/ können Unternehmen künftig prüfen, ob ein bestimmtes Unternehmen nach den Vorgaben und Kriterien des EU-US. Data Privacy Frameworks registriert und zertifiziert ist und somit die oben genannten datenschutzrechtlichen Privilegien für den Verantwortlichen bei der Beauftragung des US-Unternehmens gelten. Auf dieser Webseite finden Sie auch weitere Informationen zum sog. Swiss-U.S. Data Privacy Framework, das für Schweizer Unternehmen bei der Übermittlung personenbezogener Daten aus der Schweiz gültig ist.
Aber: Der Verantwortliche muss in regelmäßigen Abständen prüfen, ob das betreffende Unternehmen noch zertifiziert ist und in welchem Umfang, da die Dauer der Zertifizierung begrenzt ist; eine Re-Zertifizierung ist zwar problemlos möglich, aber in der Vergangenheit (beim Vorgängerabkommen) kam es des Öfteren vor, dass manche Unternehmen ihre Zertifizierung nicht verlängert haben und/oder ihnen diese von der FTC versagt wurde. So kommen bspw. auch einige Anbieter von Software-Lösungen zum neuen Hinweisgeberschutzgesetz (HinSchG), das zur Einrichtung einer internen Meldestelle verpflichtet, aus unsicheren Drittstaaten.
Künftige Drittlandsübermittlung USA – Datenschutzrechtliche Pflichten
Sollten Sie die Beauftragung eines US-Dienstleisters in Betracht ziehen und/oder personenbezogene Daten (auch im Rahmen von Software-/Onlineanwendungen) in die USA übertragen wollen, so kommen Sie auf uns zu, damit wir als Ihr externer Datenschutzbeauftragter die rechtlichen Erforderlichkeiten in Ihrem Einzelfall gemeinsam mit Ihnen klären und umsetzen können. Nutzen Sie bereits US-Dienstleister, so müssen Sie unbedingt kontrollieren, ob sich die betreffenden Dienstleister – wie oben beschrieben – zertifiziert und registriert haben. Dies wird voraussichtlich über die oben genannte Webseite möglich sein (ab dem 17.07.2023).
Zu beachten ist, dass mit dem neuen Abkommen de facto keine großartige Verbesserung des europäischen Datenschutzes für EU-Bürger und deren Rechte einhergeht. Max Schrems von NOYB (European Center for Digital Rights), der bereits gegen die ersten beiden Abkommen (Safe-Harbour und EU-US-Privacy-Shield) erfolgreich vor dem Europäischen Gerichtshof (EuGH) geklagt hat, hat bereits angekündigt, gegen das neuen Abkommen vorgehen zu wollen (https://noyb.eu/en/european-commission-gives-eu-us-data-transfers-third-round-cjeu).
Über die weiteren Entwicklungen werden wir Sie wie gewohnt auf dem Laufenden halten.
Ihre Datenschutzbeauftragten von der GDPC
Dr. Kevin Marschall und Stephan Blazy
