Am 10. Juli 2023 hat die EU-Kommission den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (EU-US DPF) veröffentlicht. Damit gilt ab sofort, dass für Daten, die an ein nach dem EU-US DPF zertifiziertes US-Unternehmen übermittelt werden, ein in den USA ein angemessenes Datenschutzniveau besteht.
Die Vorgänger des EU-US DPF – das Safe Harbor-Abkommen und das Privacy Shield – wurden vom EuGH jeweils in den Jahren 2015 (Urteil vom 6. Oktober 2015, Az. C-362/14) und 2020 (Urteil vom 16. Juli 2020, Az. C-311/18) für ungültig erklärt.
Was bedeutet der Angemessenheitsbeschluss für Unternehmen?
Nach dem Ende vom Privacy Shield brauchten Unternehmen in der EU, die personenbezogene Daten an US-Unternehmen übermitteln wollten, die neuen EU-Standarddatenschutzklauseln. Diese waren in Reaktion auf das EuGH-Urteil zu Schrems II von der EU-Kommission im Juni 2021 veröffentlicht worden (wir berichteten).
Herzstück der Klauseln ist ein Transfer Impact Assessment (TIA), auf Deutsch auch Datentransfer-Folgenabschätzung (DTFA) genannt. Dieses Assessment muss durchgeführt werden, um die datenschutzrechtlichen Risiken im Empfängerland bewerten zu können. Das TIA wiederum hat den Aufwand des Abschlusses der Standarddatenschutzklauseln spürbar erhöht und kann Rechtsunsicherheiten beim Datentransfer letzten Endes doch nicht völlig beseitigen, da die Vorgaben für das TIA in den Klauseln recht schwammig gehalten sind.
Ein Abschluss der Standarddatenschutzklauseln und die Durchführung eines TIA sind beim Datentransfer an US-Unternehmen im Rahmen des EU-US DPF zukünftig nicht mehr notwendig.
Für Unternehmen in der EU ist damit mehr Rechtssicherheit gewonnen.
Wird der Angemessenheitsbeschluss Bestand haben?
Die Vergangenheit hat gezeigt, dass die Angemessenheitsbeschlüsse der EU-Kommission regelmäßig vom EuGH gekippt worden sind. Safe Harbor hatte 15 Jahre Bestand, das Privacy Shield nur fünf Jahre. Gegen beide Angemessenheitsbeschlüsse ist der Datenschutzaktivist Max Schrems mit Erfolg vorgegangen. Nach der Veröffentlichung des Beschlusses am 10. Juli von der EU-Kommission, erklärte Max Schrems auf der Website seiner Organisation noyb, das EU-US DPF sei nur eine Kopie des Privacy Shield und man werde die Entscheidung dem EuGH vorlegen. Es ist daher zu erwarten, dass der EuGH sich in einigen Jahren wieder mit dem EU-US DPF beschäftigen wird bzw. muss.
Entscheidend wird sein, ob das EU-US DPF signifikante Verbesserungen im Vergleich zu seinen Vorgängern enthält. Diese Verbesserungen sind aus unserer Sicht bereits zu erkennen:
- So soll das Sammeln der Daten durch US-Geheimdienste auf das notwendige Maß eingeschränkt
- Außerdem ist ein Rechtsbehelfsmechanismus eingeführt worden, der es Personen aus der EU erlaubt, über eine Aufsichtsbehörde in der EU eine Beschwerde zur Datenverarbeitung über die eigene Person in den USA einzureichen. Die eingereichte Beschwerde wird dann vom Civil Liberties Protection Officer (CLPO) bearbeitet. Gegen die Entscheidung des CLPO kann vor einem Gericht Klage erhoben werden. Dabei handelt es sich nicht um irgendein Gericht, sondern um ein Gericht, welches speziell für diese Art von Beschwerden vom US-Generalstaatsanwalt, dem US-Handelsministerium und einem unabhängigen Aufsichtsgremium für Bürgerrechte eingerichtet wurde.
Diese Verbesserungen sind durch eine Durchführungsverordnung von US-Präsident Biden in Kraft gesetzt worden.
Über die Details der Durchführungsverordnung haben wir hier und über die Einschränkungen der Datensammlung und dem Rechtsbehelfsmechanismus hier näher berichtet.
Zudem hat der Europäische Datenschutzausschuss im Detail Regelungen im Entwurf des EU-US DPF kritisiert, sich aber nicht grundsätzlich gegen das EU-US DPF ausgesprochen.
Der EuGH wird darüber zu entscheiden haben, ob diese Verbesserungen zu einem angemessenen Datenschutzniveau geführt haben.
Was müssen Unternehmen jetzt tun?
Zunächst ist festzuhalten, dass bereits abgeschlossene Standarddatenschutzklauseln weiterhin Bestand haben. Ob Angemessenheitsbeschluss und Standarddatenschutzklauseln konfliktfrei nebeneinander gelten können, muss im Einzelfall geprüft werden. Allerdings sollte man sich für ein Konstrukt entscheiden. Für das EU-US DPF spricht die größere Rechtssicherheit.
Die folgenden Punkte sollten geprüft werden, wenn an US-Dienstleister Daten im Rahmen des EU-US DPF übermittelt werden sollen:
1. Ist der Dienstleister nach dem EU-US DPF zertifiziert?
Hierzu wird es ab dem 17. Juli eine Liste der zertifizierten Unternehmen geben. Sollte dies der Fall sein, ist zu klären, ob die Zertifizierung sich auf alle Arten von personenbezogenen Daten erstreckt. Sollte das Unternehmen nicht zertifiziert oder die relevanten Datenarten nicht abgedeckt sein, so muss wieder – wie bisher – auf die Standarddatenschutzklauseln zurückzugreifen werden.
2. Muss die Datenschutzerklärung aktualisiert werden?
Ja. Wenn über die Website Daten von Besucher*innen an US-Unternehmen übermittelt werden, muss der Betreiber der Website über den Angemessenheitsbeschluss informieren. Daher gilt es, die Datenschutzerklärung zu aktualisieren, sobald klar ist, ob Daten auf Grundlage des EU-US DPF an zertifizierte US-Unternehmen übermittelt werden.
3. Was passiert mit dem Cookie-Banner?
Bisher wurde für den Datentransfer in die USA die Einwilligung der Besucher über das Cookie-Banner eingeholt. Bei der Übermittlung an zertifizierte US-Unternehmen auf Grundlage des EU-US DPF könnte diese Einwilligung entfallen. Dies gilt aber nicht für die Einwilligung in das Tracking bzw. die Profilbildung zu Werbezwecken selbst.
4. Müssen die Informationen zur Datenverarbeitung aktualisiert werden?
Neben der Datenschutzerklärung müssen auch alle weiteren Informationen zur Datenverarbeitung (z. B. für Bewerber*innen oder Beschäftigte) angepasst werden, bei denen zertifizierte US-Unternehmen zum Einsatz kommen.
5. Was ändert sich bei der Beantwortung von Auskunftsbegehren?
Antragssteller*innen müssen bei der Übermittlung von Daten in ein Drittland über die Absicherung des Datenschutzniveaus unterrichtet werden. Soweit bei US-Unternehmen bisher auf Standarddatenschutzklauseln verwiesen wurde, hat auch hier eine Anpassung zu erfolgen.
6. Muss das Verzeichnis für Verarbeitungstätigkeiten aktualisiert werden?
Bei den Verarbeitungstätigkeiten muss der Verantwortliche – wie in der Datenschutzerklärung – die Datenübermittlung in die USA und den zugrundeliegenden Angemessenheitsbeschluss dokumentieren. Auch hier gilt es, die neue Rechtslage zu berücksichtigen.
Anpassungsbedarf mit einem Lächeln
Für Unternehmen innerhalb der EU wird der Datentransfer in die USA datenschutzrechtlich sicherer. Es gibt Anlass zur Hoffnung, dass der EU-US DPF vor dem EuGH Bestand haben wird.
Auch wenn es zunächst wieder Aufwand für die Unternehmen bedeutet, so ist die Situation diesmal anders als nach dem Schrems II-Urteil des EuGH, das zunächst ein Chaos verursacht hatte.
23. August 2023 @ 14:50
Zur allgemeinen Information:
Das „notwendige Maß“ wird exakt beschrieben in:
Abschnitt (146) der
https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf
19. Juli 2023 @ 10:27
Ich finde es hätte durchaus eine bessere Auseinandersetzung mit der Kritik von Max Schrems an den von Kommission und Biden vorgestellten „Lösungen“ vorgestellt werden.
Darüber hinaus die Einwilligung bei den Cookies in einem Nebensatz als taugliche Ermächtigungsgrundlage zur Datenübermittlung darzustellen ist äußerst gewagt.
18. Juli 2023 @ 14:16
Das Alles muss wohl auch in einen geopolitischen Kontext gestellt werden. Stichwort: Zeitenwende! Während Snowden noch die datenkrakenhafte Sammelwut der US-Behörden gewahr werden ließ, ist „das Böse“ doch jetzt allein in entgegengesetzter Himmelsrichtung zu verorten. Das macht es unseren Politikern viel leichter, Kritik an US-Geheimdienstleistern als Antiamerikanismus zu schelten. Schließlich sind die USA Wertepartner der EU. Und zwar faktisch der führende Partner! Der politische Druck auf den EuGH wird dadurch stärker sein als bei „Schrems I und II“. Mein Tipp: Ein „Schrems 3“ wird es diesmal nicht geben.
18. Juli 2023 @ 9:20
Die US-Dienstleister bleiben weiterhin (meist) Auftragsverarbeiter gemäß Artikel 28 DS-GVO. Also bedarf es eines entsprechenden Vertrags. ***
Das Angemessenheitsabkommen allein hilft an dieser Stelle nicht weiter.
Bestehende EU-Standardvertragsklauseln mit einem US-Dienstleister sollten daher besser ungekündigt bleiben (insbesondere dann, wenn der Anhang mit den Details zur Verarbeitung konkret ausgefüllt wurde).
Alternativ müsste man schauen, ob der US-Dienstleister seinerseits irgendwo die Auftragsverarbeiterpflichten vertraglich zusichert (was allerdings extrem unwahrscheinlich ist).
Im schlimmsten Fall müsste man einen individuellen AV-Vertrag formulieren und zur Unterschrift vorlegen… diese Vorgehensweise wird die Rechtsabteilung des US-Dienstleisters meist ablehnen (weil es zu aufwändig/riskant ist).
*** Nachtrag: In manchen Fällen ist aber auch ein Datentransfer an einen US-Dritten möglich, oder sogar eine gemeinsame Verantwortlichkeit. Dann liegt der Fall etwas anders.
18. Juli 2023 @ 0:18
Wohl eher „Erfreuliche Nachrichten für Unternehmen“, ob dem Datenschutz damit gedient ist sei mal dahingestellt. Schrems III muss es richten.
17. Juli 2023 @ 15:20
auf das „notwendige Maß“ … tolle Verbesserung! 🙂