Am 10. Juli 2023 hat die Europäische Kommission unserem Warten ein Ende bereitet: Der neue Angemessenheitsbeschluss für den sicheren und vertrauenswürdigen Datentransfer zwischen der EU und den USA ist in Kraft getreten. Damit können Unternehmen aus der EU unter bestimmten Umständen personenbezogene Daten an US-Unternehmen übermitteln ohne, dass zusätzliche Schutzvereinbarung geschlossen werden müssen. Die Umstände und was Sie jetzt tun müssen, um beim Datentransfer US-Tools rechtssicher einzubinden, erklären wir im Folgenden.
Gemäß dem aktuellen Angemessenheitsbeschluss erfüllen die USA einen Schutzstandard für personenbezogene Daten, der dem der EU ähnelt, aber nur für jene Unternehmen, die sich an das EU-US-Datenschutzabkommen halten.
Um als vertrauenswürdig gemäß dem Data Privacy Frameworks im Datenempfang eingestuft zu werden, muss ein US-Unternehmen sich selbst zertifizieren lassen durch das US-Handelsministerium (DoC - Department of Commerce). Bei erfolgreicher Selbstzertifizierung, bei der eine Reihe von Dokumenten vorgelegt werden muss, wird das Unternehmen in das Verzeichnis des Data Privacy Frameworks (DPF) aufgenommen und als „selbst zertifiziert“ eingestuft.
Der Vorgang mag komplex wirken, ist jedoch für Unternehmen, die bereits am vorherigen Privacy Shield beteiligt waren, relativ unkompliziert. Diese Unternehmen sind angehalten, ihre Datenschutzerklärungen entsprechend den neuen DPF-Anforderungen innerhalb von drei Monaten anzupassen. Einmal zertifizierte US-Unternehmen müssen diese Zertifizierung jährlich erneuern. Das Department of Commerce stellt klar, dass der Zertifizierungsprozess und die jährliche Erneuerung im Grunde unverändert bleiben, wodurch keine zusätzlichen Hindernisse entstehen.
(hier geht es zur offiziellen Anleitung für US-Unternehmen des US Department of Commerce)
Nach heutigem Stand sind unter anderem Google LLC mit zahlreichen Anwendungen, Meta für WhatsApp, Instagram und einige Facebook Anwendungen und Microsoft Corporation für einige Anwendungen selbst zertifiziert. In der offiziellen DPF Liste können Sie überprüfen, ob auch die von Ihnen genutzten Anwendungen von US-Unternehmen, an welche Sie personenbezogene Daten weitergeben, gelistet sind (hier geht es zur DPF Liste).
Bevor Unternehmer aus der EU personenbezogene Daten im Sinne des Datenschutzrahmens an die USA übertragen, sollten sie auf der offiziellen Webseite der Datenschutzbehörde nachsehen, ob der US-Datenempfänger entsprechend zertifiziert ist und ob der geplante Datentransfer durch diese Zertifizierung gedeckt ist. Genau wie beim vorherigen "Privacy Shield" gibt es dafür eine spezielle Datenbank. In dieser werden alle zertifizierten US-Unternehmen aufgelistet.
Man findet diese Übersicht auf der Seite des Data Privacy Framework unter dem Abschnitt „Data Privacy Framework List“. Hier können Betreiber von Websites gezielt nach Unternehmen suchen, um zu überprüfen, ob die erforderliche Selbstzertifizierung vorhanden ist. (hier geht es zur DPF Liste) und einem Datentransfer nichts entgegensteht.
1. Prüfen, ob das Daten empfangende US-Unternehmen als selbst zertifiziert in der DPF-Liste zu finden ist.
2. Falls das von Ihnen gesuchte US-Unternehmen nicht auftaucht, lohnt sich eine Kontaktaufnahme und der Hinweis auf die fehlende Zertifizierung und die Erleichterung der Zusammenarbeit bei vorhandener Zertifizierung. Bis das Unternehmen sich zertifiziert, müssen weiterhin die Standardvertragsklauseln vereinbart werden, sowie das Transfer Impact Assessment durchgeführt werden.
3. Die bereits abgeschlossenen Standardvertragsklauseln mit US-Unternehmen sind weiterhin für den Datentransfer gültig und sollten auch beibehalten werden.
4. Aktualisieren Sie Ihre Datenschutzerklärung und Ihren Cookie Banner.
NEIN! Das Data Privacy Framework lässt die Einwilligungsbedürftigkeit der Anwender zum Datentransfer nicht entfallen. Sie brauchen weiterhin die aktive Einwilligung der Nutzer zur Verarbeitung Ihrer personenbezogenen Daten über das Cookie Consent Tool.
Das zwischen der EU und den USA vereinbarte Data Privacy Framework bringt neue bindende Sicherheitsmaßnahmen im Rahmen des Datentransfer mit sich, um die Bedenken des Europäischen Gerichtshofs auszuräumen. So wird der Datenzugriff von US-Geheimdiensten auf EU-Daten auf das absolut Nötige reduziert. Außerdem wird ein Datenschutzgericht (DPRC) eingerichtet, zu dem EU-Bürger Zugang haben. Dieser neugeformte Rahmen verbessert den bisherigen transatlantischen Datenschutz deutlich. Wenn das Datenschutzgericht feststellt, dass Daten entgegen den neuen Sicherheitsgarantien gesammelt wurden, kann es deren Löschung veranlassen. Diese zusätzlichen Sicherheitsvorkehrungen im Kontext staatlicher Dateneinsicht ergänzen die Verpflichtungen, die US-Unternehmen erfüllen müssen, wenn sie Daten aus der EU erhalten.
Im Rahmen der Selbstzertifizierung, mit der US-Unternehmen sich nach dem neuen Data Privacy Framework anschließen können, geht zum Beispiel die Pflicht einher, personenbezogene Daten zu löschen, wenn der Zweck, für den sie erhoben wurden, erreicht ist und die Daten nicht mehr erforderlich sind. Darüber hinaus muss das Fortbestehen des Schutzes der Daten bei der Weitergabe an Dritte gewährleistet werden. Aus Sicht der US-Behörden ist der Zugang zu Daten auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt. Betroffene aus der EU haben mit dem neuen Data Privacy Framework mehr Rechtsbehelfe, wenn US-Unternehmen gegen datenschutzrechtliche Vorgaben verstoßen. Dazu zählen kostenlose unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle. Die zuständigen europäischen und US-Behörden haben sich auf eine regelmäßige Überprüfung des Datenschutzrahmens und dessen Umsetzung geeinigt.
Das Data Privacy Framework ist grundsätzlich zu begrüßen, da es den transatlantischen Datenverkehr massiv erleichtern sollte, insbesondere durch den Wegfall der Notwendigkeit des Abschlusses der Standardvertragsklauseln und des Transfer Impact Assessments für am Data Privacy Framework teilnehmende US-Unternehmen. Es bleibt abzuwarten, ob auch das Data Privacy Framework, wie seine Vorgänger, auf den Prüfstand des Europäischen Gerichtshofs gestellt wird und wie es diese Prüfung übersteht.
Gerne beraten wir Sie im Internetrecht und Datenschutzrecht. Nehmen Sie Kontakt auf.
Sie oder Ihr Unternehmen braucht rechtliche Unterstützung beim Datenschutz?
Meldet Euch gerne bei uns unter info@hannekum-partner.deoder +49 40-60850901.
