Was lange währt wird endlich gut. Oder auch nicht?
Am 10.07.2023 wurde der Angemessenheitsbeschluss für das Trans-Atlantic Data Privacy Framework (kurz TADPF oder auch DPF) zwischen der EU und den USA für gültig erklärt. Das Data Privacy Framework ist der Nachfolger des Privacy Shields. Das bedeutet, dass für die Datenübermittlung von Europa in die USA nun erst einmal Rechtssicherheit besteht.
Wie es dazu kam, was das Data Privacy Framework für Sie bedeutet und welche To Dos daraus resultieren, erfahren Sie hier in unserem kurzem Beitrag.
Inhaltsverzeichnis
Auf den Punkt gebracht: TADPF – Trans-Atlantic Data Privacy Framework
- Nach dem Privacy Shield und dem Safe Harbour Abkommen gibt es seit Juli 2023 einen neuen Angemessenheitsbeschluss für den Datenaustausch zwischen der EU und den USA.
- Damit haben Unternehmen, die US-Dienste nutzen erst einmal Rechtssicherheit.
- Ob das Abkommen dauerhaft gültig sein wird, stellen wir in Frage.
Was ist das TADPF?
Das TADPF ist eine Vereinbarung zwischen der EU-Kommission und den USA. Ziel des Abkommens ist, dass die USA die datenschutzrechtlichen Vorgaben stets verbessern und einhalten. Die EU-Kommission bescheinigt dafür ein angemessenes Datenschutzniveau für die USA an sich.
Die Vereinbarung gab es doch schon vorher in der Form des Privacy Shield? Warum wurde das für ungültig erklärt?
Das Privacy Shield ist wiederum ein Nachfolger des Safe Harbour Abkommens. Beide Vereinbarungen wurden durch die Schrems-I (2015) und Schrems-II-Urteile (2020) für ungültig erklärt. Begründet wurde das Urteil damit, dass in den USA kein vergleichbares Datenschutzniveau wie der EU herrscht.
Was bedeutet das mit dem Angemessenheitsbeschluss?
Wie oben bereits erwähnt, bescheinigt die EU-Kommission das angemessene Datenschutzniveau eines Staates außerhalb der EU, durch den sogenannten Angemessenheitsbeschluss.
Durch diesen neuen Angemessenheitsbeschluss, ist die Datenübermittlung in die USA vorerst einmal datenschutzkonform und rechtssicher. In einem anderen Beitrag können Sie mehr zum „Mechanismus“ des Angemessenheitsbeschlusses erfahren.
Super, dann gilt das TADPF nun für alle US-Unternehmen und ich kann Google, Microsoft, etc. bedenkenlos einsetzen!
Nicht ganz. Denn US-Unternehmen, die sich auf das TADPF berufen wollen, müssen sich vorher zertifizieren lassen.
Erst wenn die Zertifizierung durchlaufen ist, können sich die Unternehmen auf den Angemessenheitsbeschluss berufen.
Ich persönlich gehe stark davon aus, dass die „Big Player“ wie Microsoft, Google, Zoom etc. sich schnellmöglich zertifizieren lassen.
Wie finde ich heraus, ob ein Unternehmen zertifiziert ist?
Es gibt eine Datenbank, ähnlich wie beim Privacy-Shield. In dieser können Sie nach den US-Unternehmen suchen. Den Link dazu finden Sie hier:
Data Privacy Framework Home (Stand: 12.07.2023 – Webseite ist in Bearbeitung)
Was ist dann mit den Standardvertragsklauseln (SCC)?
Vor Inkrafttreten des Angemessenheitsbeschlusses beriefen sich die meisten US-Unternehmen in der Regel auf die Standardvertragsklauseln (SCC). Es stellt sich berechtigterweise die Frage, ob diese nun zumindest für die US-Dienstleister „wegfallen“ oder beizubehalten sind.
Manche Stimmen gehen bereits jetzt davon aus, dass das TADPF zukünftig mittels Urteil wieder für ungültig erklärt wird. Auf diesen Punkt gehe ich später noch ein.
Sollte dieser Fall tatsächlich eintreten, wären die SCC wieder heranzuziehen. Daher wäre es erst einmal empfehlenswert, diese nicht gleich „über Bord zu werfen“.
Ist dann noch eine Daten-Transfer-Folgenabschätzung (TIA) durchzuführen?
Die Pflicht zur Durchführung der TIA resultiert aus Klausel 14 der SCC. Diese Pflicht besteht beim Angemessenheitsbeschluss nicht.
Grundsätzlich sollte die TIA bereits bei Ihnen vorliegend sein, wenn Sie vor allem US-Anbieter nutzen. Wir empfehlen erst einmal, das Dokument beizubehalten und nicht sofort zu löschen.
Kritik am TADPF – ausreichend oder nicht?
Bevor der Angemessenheitsbeschluss überhaupt in Kraft getreten ist, wurde dieser seitens des EDSA (Europäische Datenschutzausschuss) geprüft. Die ausführliche Stellungnahme dazu finden Sie hier. Zusammenfassend lässt sich aus der Stellungnahme folgendes entnehmen:
Die im Vergleich zur Vorgängerübereinkunft, dem sogenannten Privacy Shield, erzielten Fortschritte adressieren erkennbar die Kritikpunkte des EuGH aus dem Schrems II-Urteil. Hierzu zählt die Einrichtung eines neuen Rechtsbehelfsmechanismus, mit dem für betroffene Personen in der EU wirksame Rechtsschutzmöglichkeiten geschaffen werden sollen.
Anlass für Bedenken sieht der EDSA vor allem bei der Massenerhebung von Daten, die „Bulk Collection“, für die weder eine unabhängige Vorab-Kontrolle noch eine systematische, unabhängige nachträgliche Überprüfung durch ein Gericht oder eine unabhängige Stelle vorgesehen ist.
BfDI – Pressemitteilungen – EDSA stellt den Entwurf des Angemessenheitsbeschlusses zum EU-U.S. Data Privacy Framework auf den Prüfstand (bund.de), Pressemitteilung 07/2023 BfDI
Generell wird am TADPF die Kritik geäußert, dass durch das Abkommen immer noch kein ausreichendes Datenschutzniveau erzielt wird.
Kann das Data Privacy Framework wieder für ungültig erklärt werden? Wenn ja, was passiert dann?
Verschiedene Datenschutzexperten gehen davon aus, dass es zu einem „Schrems-III-Urteil“ kommen wird und somit das Data Privacy Framework aufgrund einem EuGH-Urteil wieder für ungültig erklärt wird.
Sollte dies der Fall sein, können sich die US-Unternehmen nicht mehr auf die Vereinbarung für die Datenübermittlung stützen. In der Konsequenz sind dann andere Übertragungsmechanismen wie z.B. die SCC zu wählen.
Wir gehen aber davon aus, dass ein solches Urteil wahrscheinlich nicht binnen Monaten ausgesprochen wird, sondern eher in Jahren.
Was muss ich als Verantwortlicher nun konkret unternehmen?
Das Inkrafttreten des Angemessenheitsbeschlusses hat natürlich auch Auswirkungen auf die Datenschutz-Unterlagen. Wir raten Ihnen daher, folgende Anpassungen vorzunehmen:
- Aktualisieren Sie in Ihrem Verfahrensverzeichnis die Rechtsgrundlage bei US-Unternehmen entsprechend dem Angemessenheitsbeschluss.
- Sofern sich Ihr eingesetzter US-Dienstleister nach dem Data Privacy Framework zertifizieren lässt, ergänzen Sie dies ebenfalls im Verfahrensverzeichnis.
- Passen Sie auch Ihre Informationspflichten nach Art. 13 und Art. 14 DSGVO entsprechend der Datenübermittlung in die USA bezüglich der Rechtsgrundlage an.
- Führen Sie dennoch weiterhin die TIA (sofern noch nicht geschehen) durch.
Beachten Sie nach wie vor generell bei der Auswahl von Dienstleistern:
- Wie bei allen Dienstleistern sollten Sie nach wie vor den „Richtigen“ auswählen, der auch auf Ihren Zweck passend ist.
- Ein (aktueller) Auftragsverarbeitungsvertrag (SCC) muss auch weiterhin vorhanden sein.
- Klären Sie intern ab, welche (sensiblen) Daten bei dem US-Anbieter gespeichert werden und ob Sie diese Daten grundsätzlich außer Haus geben möchten.
Update September 2023: DSK Anwendungshinweise zum Angemessenheitsbeschluss für das DPF
Die DSK hat Anwendungshinweise zum DPF veröffentlicht. Mit den Anwendungshinweisen werden die wesentlichen Hintergründe und Inhalte des Angemessenheitsbeschluss erläutert. Die Hinweise richten sich an Verantwortliche und Auftragsverarbeiter, welche personenbezogene Daten in die USA übermitteln. Insbesondere wird nochmals darauf eingegangen, was EU-Unternehmen zu berücksichtigen und zu unternehmen haben. Diese Schritte fasse ich nachstehend nochmals kurz zusammen:
- Überprüfen, ob Daten in die USA übermittelt werden
- Rechtsgrundlage nach Art. 6 und ggf. nach Art. 9 DSGVO definieren
- Prüfen, ob US-Unternehmen DPF zertifiziert ist ( https://www.dataprivacyframework.gov/s/participant-search)
- Prüfen, ob US-Unternehmen auch HR-Data zertifiziert ist, falls Beschäftigtendaten übermittelt werden
- Wenn keine DPF-Zertifizierung vorhanden, anderes Übermittlungsinstrument definieren z.B. SCC, genehmigte Verhaltensregeln, genehmigter Zertifizierungsmechanismus, BCR)
- Datenschutz-Dokumentationen vervollständigen (siehe oben).
Weiterhin wird im Dokument erläutert, wer sich nach dem DPF zertifzieren kann, wie der Zertifzierungsprozess abläuft und welche US-Stellen für die Überwachung des DPF zuständig sind. Auch werden Informationen für die Rechtschutzmöglichkeiten für Betroffene wiedergegeben. Folgende Möglichkeiten stehen Betroffene zu:
- Beschwerde direkt bei der betreffenden zertifizierten Organisation,
- Beschwerde bei einer Beschwerdestelle,
- Beschwerde bei der Aufsichtsbehörde in der EU,
- Beschwerde beim FTC (Behörde Wettbewerbskontrolle) oder DOC (Verkehrsministerium).
Fazit und Ausblick
Als ich die Pressemitteilung des BfDI über das Inkrafttreten gelesen habe, war ich wirklich erleichtert und habe ich mich auch riesig gefreut. Endlich haben wir nach drei Jahren wieder eine gewisse Rechtssicherheit beim Einsatz von US-Unternehmen! Wie lange diese Freude und diese Rechtssicherheit andauern werden, ist aktuell noch nicht absehbar.
Sofern zum Data Privacy Framework neue Informationen veröffentlicht werden, ergänzen wir den Artikel natürlich entsprechend.
Wie finden Sie diese bedeutende Neuerung? Können Sie als Verantwortlicher wieder aufatmen? Lassen Sie es uns gerne in den Kommentaren wissen.