Die Europäische Kommission hat am 10. Juli 2023 ihren Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen angenommen.1 Der Beschluss kommt zu dem Schluss, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die auf der Grundlage des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten aus der EU an US-Unternehmen, die an dem Rahmen teilnehmen, übermittelt werden, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen.
Was ist das Trans-Atlantic Data Privacy Framework (TADPF)?
Das TADPF ist kein (neues) Gesetz. Es ist eine Vereinbarung zwischen der EU-Kommission und dem US-Handelsministerium. Es handelt sich hierbei um einen sogenannten „Angemessenheitsbeschluss“ (Art. 45 DSGVO). Eine Übermittlung personenbezogener Daten in ein Drittland darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Datenschutzniveau bietet. Das TADPF ist der dritte Anlauf und der Nachfolger von „Safe Harbor“ und „Privacy Shield“.
Der TADPF erstreckt sie nicht auf die gesamten USA. US-Unternehmen können dem Framework beitreten, indem sie sich zur Einhaltung einer Reihe von Datenschutzverpflichtungen verpflichten, wie z.B. der Anforderung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erfasst wurden, nicht mehr erforderlich sind („Selbstzerifizierungsverfahren“). Die zertifizierten US-Unternehmen werden (wieder und wie bei den Vorgängern) in einer Datenbank geführt. Bevor EU-Unternehmen einen US-Dienstleister beauftragten, sollten diese prüfen, ob der Anbieter das Selbstzertifizierungsverfahren durchlaufen hat.2 Eine Überprüfung der Angaben bzw. der Einhaltung der Datenschutzverpflichtungen der dort gelisteten Unternehmen durch eine Behörde oder Zertifizierungsstelle erfolgt allerdings nicht.
Was müssen Unternehmen aus datenschutzrechtlicher Sicht jetzt beachten?
- Es ist empfehlenswert, auch weiterhin vor dem Einsatz eines US-Anbieters ein Transfer Impact Assistent (kurz: TIA) durchzuführen. Es hat u.a. eine Bewertung der Risiken und der technisch-organisatorischen Maßnahmen zu erfolgen.
- Es ist empfehlenswert, auch weiterhin mit dem US-Anbieter Standardvertragsklauseln abzuschließen. Eine Vereinbarung für die Auftragsverarbeitung ist vor dem Datentransfer zwingend abzuschließen, so wie mit jedem anderen Auftragsverarbeiter auch. Anlage zur Vereinbarung sind u.a. auch hier die technisch-organisatorischen Maßnahmen (Art. 32 DSGVO).
Der TADPF bietet (derzeit) einen rechtlichen Rahmen für den Datentransfer. Es ist dennoch wichtig den US-Dienstleister – wie jeden Dienstleister innerhalb der EU – zu überprüfen und zu bewerten sowie adäquate Vereinbarungen für die Datenübertragung abzuschließen.
- Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 DSGVO)
- Aktualisierung der Datenschutzerklärungen auf den Webseiten (Art. 13, 14 DSGVO)
- Aktualisierung der Informationspflichten z.B. für Beschäftigte, Kunden (Art. 12 ff. DSGVO)
Der Hinweis auf einen Angemessenheitsbeschluss bei Datentransfers in Drittländer ist eine Pflichtangabe in den Datenschutzhinweisen (Art. 13 Abs. 1 lit. e DSGVO).
Was wurde beschlossen? (entnommen der Pressemitteilung der EU-Kommission3)
Der Datenschutzrahmen zwischen der EU und den USA führt neue verbindliche Garantien ein, um alle vom Europäischen Gerichtshof geäußerten Bedenken auszuräumen, einschließlich der Beschränkung des Zugriffs von US-Geheimdiensten auf EU-Daten auf das notwendige und verhältnismäßige Maß und der Einrichtung eines Data Protection Review Court (DPRC), zu dem EU-Bürger Zugang haben. Der neue Rahmen bringt erhebliche Verbesserungen im Vergleich zu dem Mechanismus, der unter dem Privacy Shield bestand. Stellt das DPRC beispielsweise fest, dass Daten unter Verstoß gegen die neuen Garantien erhoben wurden, kann es die Löschung der Daten anordnen. Die neuen Garantien im Bereich des staatlichen Zugriffs auf Daten werden die Verpflichtungen ergänzen, die US-Unternehmen, die Daten aus der EU importieren, eingehen müssen.
US-Unternehmen können dem EU-US-Datenschutzrahmen beitreten, indem sie sich verpflichten, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten, z. B. die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und die Kontinuität des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.
EU-Bürger können mehrere Rechtsbehelfe in Anspruch nehmen, wenn ihre Daten von US-Unternehmen falsch gehandhabt werden. Dazu gehören kostenlose unabhängige Streitbeilegungsmechanismen und ein Schlichtungsgremium.
Darüber hinaus sieht der US-Rechtsrahmen eine Reihe von Garantien für den Zugriff von US-Behörden auf Daten vor, die auf der Grundlage des Rechtsrahmens übermittelt werden, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu den Daten ist auf das beschränkt, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.
Einzelpersonen in der EU haben Zugang zu einem unabhängigen und unparteiischen Rechtsbehelfsverfahren in Bezug auf die Erhebung und Verwendung ihrer Daten durch US-Geheimdienste, zu dem auch ein neu geschaffenes Data Protection Review Court gehört. Das Gericht wird Beschwerden unabhängig untersuchen und schlichten, auch durch die Annahme verbindlicher Abhilfemaßnahmen.
Fazit:
Das ist nun der dritte Versuch der Europäischen Kommission, ein stabiles Abkommen zu den Datentransfers zwischen der EU und den USA zu erreichen. Die Kommission hat das Abkommen angenommen, es wird wohl dieses Jahr noch in Kraft treten.
Weitestgehend ist das TADPF aber eine Kopie des gescheiterten Privacy-Shield-Abkommens. Verständlicherweise gab und gibt es daher deutliche Kritik von EU- und Datenschutzexperten sowie Datenschutzaktivisten an dem Trans-Atlantic Data Privacy Framework. Es bleibt abzuwarten, ob der EU-US-Angemessenheitsbeschluss einer zukünftigen Überprüfung durch den Europäischen Gerichtshof (EuGH) standhalten wird. Wahrscheinlich wird ein Verfahren den Luxemburger Richtern bis Ende 2023/Anfang 2024 von einem nationalen Gericht vorgelegt. Eine endgültige Entscheidung wäre 2024 oder 2025 zu erwarten. Für die Dauer des Verfahrens kann der EuGH das TADPF aussetzen. Das kann dann bedeuten, dass Datenübermittlungen auf Basis des TADPF nicht mehr erfolgen dürfen.
Sofern der US-Empfänger nach dem EU-US Framework zertifiziert ist, wäre der Transfer ggf. ohne TIA zulässig. Das setzt allerdings voraus, dass sich der Empfänger dem EU-Exporteur gegenüber vertraglich zur Einhaltung des TADPF verpflichtet hat. Nichtsdestotrotz ist, wie bei jedem anderen Auftragsverarbeiter (hier: Importeur) auch, eine Bewertung und Prüfung der Voraussetzungen und Maßnahmen durchzuführen, und je nach dem auch eine Datenschutz-Folgenabschätzung (DSFA). Der Abschluss von SCC mit US-Empfängern ist nicht mehr erforderlich (diese werden aber auch nicht obsolet). Eine Vereinbarung zur Auftragsverarbeitung ist – wie mit jedem Auftragsverarbeiter – abzuschließen und in dieser sollte auch die Aufrechterhaltung der Zertifizierung vertraglich verpflichtend geregelt sein.
Unser Datenschutzexperten unterstützen Sie und Ihren Datenschutzbeauftragten.
Vereinbaren Sie ein Expertengespräch Tel.-Nr. +49 173 8198864 oder schreiben Sie an consulting@adorgasolutions.de.
1 Adequacy decision for the EU-US Data Privacy Framework https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework.pdf
2 https://www.dataprivacyframework.gov/s/participant-search
3 Quelle – Press release, Brussels, 10. Juli 2023 (Übersetzung): https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721