Blog, Datenschutz & Informationssicherheit, Markus Olbring, Sven Schüldink

Am 10.07.2023 hat die Europäische Kommission den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (EU-US DPF) verabschiedet, welches als Nachfolger des bekannten „Privacy Shields“ fungiert. „Privacy Shield“ war der Nachfolger des „Safe Harbor“-Abkommens. „Privacy Shield“ wurde durch das sog. Schrems II-Urteil für ungültig erklärt. Dieser Beschluss stellt eine bedeutende Entwicklung dar, da er als Grundlage für die Übermittlung personenbezogener Daten an zertifizierte Organisationen in den USA dienen kann.

Die Europäische Kommission hat dem EU-US DPF ein angemessenes Schutzniveau bescheinigt, wodurch ab sofort personenbezogene Daten aus der EU in die USA an teilnehmende Unternehmen übertragen werden können, ohne dass zusätzliche Übermittlungsinstrumente oder Maßnahmen erforderlich sind (z.B. Standardvertragsklauseln/Standard Contractual Clauses (SCC) gem. Art. 46 II c DSGVO) (siehe https://www.comdatis.de/neue-standardvertragsklauseln/). Unternehmen in der EU müssen vorab prüfen, ob das Unternehmen in den USA nach EU-US DPF zertifiziert ist, um eine reibungslose Datenübermittlung sicherzustellen. Diese Entwicklung bringt sowohl für betroffene Personen als auch für Datenexporteure eine erhöhte Rechtssicherheit mit sich. Die bislang 2496 US-Unternehmen finden Sie auf einer speziellen Webseite des US-Handelsministeriums: https://www.dataprivacyframework.gov/s/participant-search

Der Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework basiert auf einem sektoralen Ansatz, der es US-Organisationen ermöglicht, personenbezogene Daten zu empfangen, sofern sie eine Zertifizierung beim U.S. Department of Commerce erhalten haben.

Möglich wurde dieser Schritt, weil der US-Präsident ein Dekret zur Anordnung an die US-Geheimdienste unterzeichnete, welches den EU-Bürgern mehr Rechte bei Verarbeitung ihrer personenbezogenen Daten durch US-Geheimdienste gewährt. Dieses Dekret gilt nicht nur für das neue EU-US DPF, sondern ist unabhängig von der gewählten „Garantie für die Datenübermittlung“. D.h. sollte ein US-amerikanisches Unternehmen nicht nach EU-US DPF zertifiziert sein und die Übermittlung von personenbezogenen Daten weiterhin auf Grundlage der Standardvertragsklauseln gestützt werden, so fällt nun die Bewertung und die Argumente der rechtmäßigen Übermittlungen deutlich leichter – so sollte auch eine Transfer-Folgenabschätzung (Transfer Impact Assessment (TIA) gem. Klausel 14 a SCC) deutlich positiver ausfallen (siehe https://www.comdatis.de/tia/).  

Auswahl aus der Liste des Handelsministeriums

Bei der Auswahl der EU-US DPF-zertifizierten Unternehmen sollten Sie folgende Punkte beachten:

  • Ist das Unternehmen als „Active“ und nicht als „Inactive“ gelistet?
  • Weißt das Unternehmen mindestens das EU-U.S. Data Privacy Framework und nicht nur das Swiss-U.S. Data Privacy Framework auf?
  • Sind die Entitäten abgedeckt, welche Sie nutzen möchten („Covered Entities“)?
  • Können Sie auch Personaldaten übermitteln („HR und Non-HR“ oder nur „Non-HR“)?

Beispiele

Für eine Entität des Mutterkonzerns ist die Übermittlung von personenbezogenen Daten ohne Personaldaten aus der EU abgedeckt.

Die Übermittlung von personenbezogenen Daten aus der EU ist nicht Gegenstand der Zertifizierung.

Die Übermittlung von personenbezogenen Daten mit Personalbezug und ohne Personalbezug ist an die 61 Entitäten des Konzern aus der EU möglich.

Nächste Schritte für Unternehmen

Bei bereits eingesetzten US-amerikanischen Dienstleistern sollten Sie die bestehenden Vereinbarungen (z.B. Data Processing Agreement (DPA) und Standardvertragsklauseln) allerdings auch dann nicht kündigen, wenn der Dienstleister nach DPF zertifiziert ist, denn eine EuGH-Urteil welches die Unwirksamkeit des neuen EU-US DPF erklärt ist mit Blick auf die Vergangenheit (Schrems-I und Schrems-II) nicht vollständig unwahrscheinlich. Sollten Sie planen neue US-amerikanische Dienstleister einzusetzen, sollten Sie auf der Webseite https://www.dataprivacyframework.gov/s/participant-search nach diesem suchen und die obengenannten Punkte beachten. Für diesen Dienstleister benötigen Sie dann keine Standardvertragsklauseln mehr; da es sich allerdings höchstwahrscheinlich um einen Auftragsverarbeitung handelt, müssen die Anforderungen aus Artikel 28 DSGVO weiterhin angewendet werden.

Unser Blogangebot stellt lediglich einen unverbindlichen Informationszweck und keine Rechtsberatung dar. Sie spiegelt stets nur die Meinung des Autors wider. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.