AdOrga Solutions GmbH - Datenschutz EU

Die Eu­ro­päi­sche Kom­mis­si­on hat am 10. Juli 2023 ihren An­ge­mes­sen­heits­be­schluss für den EU-US-Da­­ten­­schut­z­rah­­men an­ge­nom­men.1 Der Be­schluss kommt zu dem Schluss, dass die Ver­ei­nig­ten Staaten ein an­ge­mes­se­nes Schutz­ni­veau – ver­gleich­bar mit dem der Eu­ro­päi­schen Union – für per­so­nen­be­zo­ge­ne Daten ge­währ­leis­ten, die auf der Grund­la­ge des neuen Rahmens aus der EU an US-Un­­ter­­neh­­men über­mit­telt werden. Auf der Grund­la­ge des neuen An­ge­mes­sen­heits­be­schlus­ses können per­so­nen­be­zo­ge­ne Daten aus der EU an US-Un­­ter­­neh­­men, die an dem Rahmen teil­neh­men, über­mit­telt werden, ohne dass zu­sätz­li­che Da­ten­schutz­vor­keh­run­gen ge­trof­fen werden müssen.

Was ist das Trans-At­lan­­tic Data Privacy Frame­work (TADPF)?

Das TADPF ist kein (neues) Gesetz. Es ist eine Ver­ein­ba­rung zwi­schen der EU-Kom­­mis­­si­on und dem US-Han­­dels­­mi­­nis­­te­ri­um. Es handelt sich hierbei um einen so­ge­nann­ten „An­ge­mes­sen­heits­be­schluss“ (Art. 45 DSGVO). Eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in ein Dritt­land darf vor­ge­nom­men werden, wenn die Kom­mis­si­on be­schlos­sen hat, dass das be­tref­fen­de Dritt­land, ein Gebiet oder ein oder mehrere spe­zi­fi­sche Sek­to­ren in diesem Dritt­land oder die be­tref­fen­de in­ter­na­tio­na­le Or­ga­ni­sa­ti­on ein an­ge­mes­se­nes Da­ten­schutz­ni­veau bietet. Das TADPF ist der dritte Anlauf und der Nach­fol­ger von „Safe Harbor“ und „Privacy Shield“.

Der TADPF er­streckt sie nicht auf die ge­sam­ten USA. US-Un­­ter­­neh­­men können dem Frame­work bei­tre­ten, indem sie sich zur Ein­hal­tung einer Reihe von Da­ten­schutz­ver­pflich­tun­gen ver­pflich­ten, wie z.B. der An­for­de­rung, per­so­nen­be­zo­ge­ne Daten zu löschen, wenn sie für den Zweck, für den sie erfasst wurden, nicht mehr er­for­der­lich sind („Selbst­ze­ri­fi­zie­rungs­ver­fah­ren“). Die zer­ti­fi­zier­ten US-Un­­ter­­neh­­men werden (wieder und wie bei den Vor­gän­gern) in einer Da­ten­bank geführt. Bevor EU-Un­­ter­­neh­­men einen US-Diens­t­­leis­­ter be­auf­trag­ten, sollten diese prüfen, ob der An­bie­ter das Selbst­zer­ti­fi­zie­rungs­ver­fah­ren durch­lau­fen hat.2 Eine Über­prü­fung der Angaben bzw. der Ein­hal­tung der Da­ten­schutz­ver­pflich­tun­gen der dort ge­lis­te­ten Un­ter­neh­men durch eine Behörde oder Zer­ti­fi­zie­rungs­stel­le erfolgt al­ler­dings nicht.

Was müssen Un­ter­neh­men aus da­ten­schutz­recht­li­cher Sicht jetzt beachten?

  • Es ist emp­feh­lens­wert, auch wei­ter­hin vor dem Einsatz eines US-An­­bie­­ters ein Trans­fer Impact As­sis­tent (kurz: TIA) durch­zu­füh­ren. Es hat u.a. eine Be­wer­tung der Risiken und der tech­­nisch-or­­ga­­ni­­sa­­to­ri­­schen Maß­nah­men zu erfolgen.
  • Es ist emp­feh­lens­wert, auch wei­ter­hin mit dem US-An­­bie­­ter Stan­dard­ver­trags­klau­seln ab­zu­schlie­ßen. Eine Ver­ein­ba­rung für die Auf­trags­ver­ar­bei­tung ist vor dem Da­ten­trans­fer zwin­gend ab­zu­schlie­ßen, so wie mit jedem anderen Auf­trags­ver­ar­bei­ter auch. Anlage zur Ver­ein­ba­rung sind u.a. auch hier die tech­­nisch-or­­ga­­ni­­sa­­to­ri­­schen Maß­nah­men (Art. 32 DSGVO).

Der TADPF bietet (derzeit) einen recht­li­chen Rahmen für den Da­ten­trans­fer. Es ist dennoch wichtig den US-Diens­t­­leis­­ter – wie jeden Dienst­leis­ter in­ner­halb der EU – zu über­prü­fen und zu be­wer­ten sowie ad­äqua­te Ver­ein­ba­run­gen für die Da­ten­über­tra­gung abzuschließen.

  • Ak­tua­li­sie­rung des Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten (Art. 30 DSGVO)
  • Ak­tua­li­sie­rung der Da­ten­schutz­er­klä­run­gen auf den Web­sei­ten (Art. 13, 14 DSGVO)
  • Ak­tua­li­sie­rung der In­for­ma­ti­ons­pflich­ten z.B. für Be­schäf­tig­te, Kunden (Art. 12 ff. DSGVO)

Der Hinweis auf einen An­ge­mes­sen­heits­be­schluss bei Da­ten­trans­fers in Dritt­län­der ist eine Pflicht­an­ga­be in den Da­ten­schutz­hin­wei­sen (Art. 13 Abs. 1 lit. e DSGVO).

Was wurde be­schlos­sen? (ent­nom­men der Pres­se­mit­tei­lung der EU-Kom­­mis­­si­on3)

Der Da­ten­schutz­rah­men zwi­schen der EU und den USA führt neue ver­bind­li­che Ga­ran­tien ein, um alle vom Eu­ro­päi­schen Ge­richts­hof ge­äu­ßer­ten Be­den­ken aus­zu­räu­men, ein­schließ­lich der Be­schrän­kung des Zu­griffs von US-Ge­heim­­di­ens­­ten auf EU-Daten auf das not­wen­di­ge und ver­hält­nis­mä­ßi­ge Maß und der Ein­rich­tung eines Data Pro­tec­tion Review Court (DPRC), zu dem EU-Bürger Zugang haben. Der neue Rahmen bringt er­heb­li­che Ver­bes­se­run­gen im Ver­gleich zu dem Me­cha­nis­mus, der unter dem Privacy Shield bestand. Stellt das DPRC bei­spiels­wei­se fest, dass Daten unter Verstoß gegen die neuen Ga­ran­tien erhoben wurden, kann es die Lö­schung der Daten an­ord­nen. Die neuen Ga­ran­tien im Bereich des staat­li­chen Zu­griffs auf Daten werden die Ver­pflich­tun­gen er­gän­zen, die US-Un­­ter­­neh­­men, die Daten aus der EU im­por­tie­ren, ein­ge­hen müssen.

US-Un­­ter­­neh­­men können dem EU-US-Da­­ten­­schut­z­rah­­men bei­tre­ten, indem sie sich ver­pflich­ten, eine Reihe de­tail­lier­ter Da­ten­schutz­ver­pflich­tun­gen ein­zu­hal­ten, z. B. die Ver­pflich­tung, per­so­nen­be­zo­ge­ne Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr er­for­der­lich sind, und die Kon­ti­nui­tät des Schut­zes zu ge­währ­leis­ten, wenn per­so­nen­be­zo­ge­ne Daten an Dritte wei­ter­ge­ge­ben werden.

EU-Bürger können mehrere Rechts­be­hel­fe in An­spruch nehmen, wenn ihre Daten von US-Un­­ter­­neh­­men falsch ge­hand­habt werden. Dazu gehören kos­ten­lo­se un­ab­hän­gi­ge Streit­bei­le­gungs­me­cha­nis­men und ein Schlichtungsgremium.

Darüber hinaus sieht der US-Rechts­rah­­men eine Reihe von Ga­ran­tien für den Zugriff von US-Be­hör­­den auf Daten vor, die auf der Grund­la­ge des Rechts­rah­mens über­mit­telt werden, ins­be­son­de­re für Zwecke der Straf­ver­fol­gung und der na­tio­na­len Si­cher­heit. Der Zugang zu den Daten ist auf das be­schränkt, was zum Schutz der na­tio­na­len Si­cher­heit not­wen­dig und ver­hält­nis­mä­ßig ist.

Ein­zel­per­so­nen in der EU haben Zugang zu einem un­ab­hän­gi­gen und un­par­tei­ischen Rechts­be­helfs­ver­fah­ren in Bezug auf die Er­he­bung und Ver­wen­dung ihrer Daten durch US-Ge­heim­­di­ens­­te, zu dem auch ein neu ge­schaf­fe­nes Data Pro­tec­tion Review Court gehört. Das Gericht wird Be­schwer­den un­ab­hän­gig un­ter­su­chen und schlich­ten, auch durch die Annahme ver­bind­li­cher Abhilfemaßnahmen.

Fazit:

Das ist nun der dritte Versuch der Eu­ro­päi­schen Kom­mis­si­on, ein sta­bi­les Ab­kom­men zu den Da­ten­trans­fers zwi­schen der EU und den USA zu er­rei­chen. Die Kom­mis­si­on hat das Ab­kom­men an­ge­nom­men, es wird wohl dieses Jahr noch in Kraft treten.
Wei­test­ge­hend ist das TADPF aber eine Kopie des ge­schei­ter­ten Privacy-Shield-Ab­­kom­­mens. Ver­ständ­li­cher­wei­se gab und gibt es daher deut­li­che Kritik von EU- und Da­ten­schutz­ex­per­ten sowie Da­ten­schutz­ak­ti­vis­ten an dem Trans-At­lan­­tic Data Privacy Frame­work. Es bleibt ab­zu­war­ten, ob der EU-US-An­­ge­­mes­­sen­heits­­­be­­schluss einer zu­künf­ti­gen Über­prü­fung durch den Eu­ro­päi­schen Ge­richts­hof (EuGH) stand­hal­ten wird. Wahr­schein­lich wird ein Ver­fah­ren den Lu­xem­bur­ger Rich­tern bis Ende 2023/Anfang 2024 von einem na­tio­na­len Gericht vor­ge­legt. Eine end­gül­ti­ge Ent­schei­dung wäre 2024 oder 2025 zu er­war­ten. Für die Dauer des Ver­fah­rens kann der EuGH das TADPF aus­set­zen. Das kann dann be­deu­ten, dass Da­ten­über­mitt­lun­gen auf Basis des TADPF nicht mehr er­fol­gen dürfen.

Sofern der US-Emp­­fän­­ger nach dem EU-US Frame­work zer­ti­fi­ziert ist, wäre der Trans­fer ggf. ohne TIA zu­läs­sig. Das setzt al­ler­dings voraus, dass sich der Emp­fän­ger dem EU-Ex­­por­­teur ge­gen­über ver­trag­lich zur Ein­hal­tung des TADPF ver­pflich­tet hat. Nichts­des­to­trotz ist, wie bei jedem anderen Auf­trags­ver­ar­bei­ter (hier: Im­por­teur) auch, eine Be­wer­tung und Prüfung der Vor­aus­set­zun­gen und Maß­nah­men durch­zu­füh­ren, und je nach dem auch eine Da­ten­­­schutz-Fol­­gen­a­b­­schä­t­­zung (DSFA). Der Ab­schluss von SCC mit US-Emp­­fän­­gern ist nicht mehr er­for­der­lich (diese werden aber auch nicht obsolet). Eine Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung ist – wie mit jedem Auf­trags­ver­ar­bei­ter – ab­zu­schlie­ßen und in dieser sollte auch die Auf­recht­erhal­tung der Zer­ti­fi­zie­rung ver­trag­lich ver­pflich­tend ge­re­gelt sein. 

 

Unser Da­ten­schutz­ex­per­ten un­ter­stüt­zen Sie und Ihren Datenschutzbeauftragten. 
Ver­ein­ba­ren Sie ein Ex­per­ten­ge­spräch Tel.-Nr. +49 173 8198864 oder schrei­ben Sie an consulting@adorgasolutions.de.

 

1 Ade­quacy de­cis­i­on for the EU-US Data Privacy Frame­work https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework.pdf
2
https://www.dataprivacyframework.gov/s/participant-search
3 Quelle – Press release, Brussels, 10. Juli 2023 (Über­set­zung): https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!