EU-US Data Privacy Framework
Neuer Angemessenheitsbeschluss zwischen der EU und den USA
Am 10.07.2023 wurde der neue Angemessenheitsbeschluss durch die EU-Kommission im Rahmen des EU-US Data Privacy Framework angenommen. Die EU-Kommission bestätigt durch den Beschluss das angemessene Datenschutzniveau in den USA für Datenübermittlungen. Das bedeutet, dass ein Datentransfer aus der EU in die USA unter bestimmten Voraussetzungen wieder erleichtert möglich wird und die zwischenzeitlichen Maßnahmen (Abschluss von Standardvertragsklauseln/Durchführung einer Drittlandtransfer-Folgenabschätzung, sowie ergänzende Vereinbarung vertraglicher bzw. technischer Sicherheiten) wegfallen können.
Die Voraussetzungen, dass ein Datentransfer unter den Angemessenheitsbeschluss fällt, sind analog dem Vorgänger, dem EU-US Privacy Shield, gleich geblieben. US-Unternehmen müssen, um die Vorteile des erleichterten Datentransfers zu nutzen, sich beim US-Handelsministerium unter den geltenden Rechtsrahmen unterwerfen und sich in die Zertifizierungsliste eintragen lassen. Diese ist abrufbar unter: https://www.privacyshield.gov/list
Die Liste hat den Zweck, dass europäische Auftraggeber prüfen können, ob deren Dienstleister und/oder Vertragspartner darin enthalten sind und ein erleichterter Datenaustausch vorgenommen werden kann.
Dies führt für alle Unternehmen, welche Vertragsbeziehungen in die USA pflegen zu nachfolgenden Handlungsempfehlungen und ggfs. umzusetzenden Maßnahmen:
- Prüfung, ob Zertifizierung vorliegt: Es muss geprüft werden, ob die Vertragspartner beim US-Handelsministerium zertifiziert sind. Hierbei ist darauf zu achten, dass die entsprechenden Datenkategorien (HR / Non-HR) mitumfasst sind. Prüfung erfolgt in der Liste: https://www.privacyshield.gov/list. Sind die Vertragspartner zertifiziert, so können weitere Datentransfers auf den Angemessenheitsbeschluss gestützt werden. Bestehende Standardvertragsklauseln gelten grundsätzlich weiter, doch wird erwartet, dass viele US-Unternehmen diese kündigen werden, weil sie nicht mehr notwendig sind. Hierzu kann ggfs. Kontakt zum jeweiligen Unternehmen empfehlenswert sein, um die Entwicklungen in Erfahrung zu bringen. Findet man sein Partnerunternehmen dort nicht, sind weiterhin die Standardvertragsklauseln zu verwenden und die bisherigen Voraussetzungen zu erfüllen.
- Anpassung der Datenschutz-Informationen / Datenschutzerklärungen und Cookie-Banner: Wenn in der Vergangenheit die oben genannten Informationen angepasst wurden (entweder auf die Standardvertragsklauseln oder auf eine explizite Einwilligung zum Drittlandtransfer), so können diese nach erfolgter Prüfung wieder umgestellt werden. Bitte beachten Sie, dass dies nicht für die Rechtsgrundlagen der Verarbeitung an sich, sondern nur für die Datenübermittlung in die USA gilt! Wenn Sie Ihre vorhergehende Datenschutzerklärung, in welcher auf das EU-US-Privacy-Shield verwiesen wurde, noch vorgehalten haben, so kann diese verwendet werden und das EU-US-Privacy-Shield gegen das EU-US-Data-Privacy-Framework (alternativ je nach Formulierung in den Datenschutzinformationen „Privacy-Shield“ gegen „Data-Privacy-Framwork“) ausgetauscht werden. Es empfiehlt sich, eine abschließende Prüfung durchzuführen, ob alle Angaben noch korrekt sind. Hinweis beim Cookie-Banner: Wenn dort Cookies von Unternehmen eingesetzt werden, welche nicht beim US-Handelsministerium registriert sind, muss wohl weiterhin eine explizite Einwilligung eingeholt oder auf die Standardvertragsklauseln verwiesen werden.
- Überarbeitung der Verzeichnisse von Verarbeitungstätigkeiten: Ihre Verzeichnisse von Verarbeitungstätigkeiten müssen den aktuellen rechtlichen Rahmenbedingungen angepasst werden, wenn diese einen Datenaustausch mit den USA beinhalten. Zumindest ist eine Prüfung und ggf. Anpassung erforderlich.
Abschließend möchten wir Ihnen noch Hinweise geben, wie mit den anzupassenden Unterlagen vorgegangen werden soll. Hintergrund der nachfolgenden Ausführungen ist, dass der derzeitige Angemessenheitsbeschluss einer Kontrollfrist der EU-Kommission unterworfen ist und somit in einem Jahr nochmals evaluiert wird.
Daneben ist das Abkommen nicht ohne Kritik geblieben und Herr Max Schrems kündigte bereits in der Vergangenheit an, gegen das neue Abkommen wieder vorzugehen. Es besteht deshalb die Möglichkeit in zweifacher Hinsicht, dass das Abkommen nicht von Dauer sein wird, sondern zukünftig auch wieder aufgehoben oder vom EuGH „kassiert“ werden könnte.
Um hier Anschlussaufwände zu vermeiden, empfehlen wir, die derzeitigen Unterlagen zu archivieren, sodass diese bei erneutem Wegfall unverzüglich zur Verfügung stehen. Dies hätte nämlich zur Konsequenz, dass die gerade weggefallene Situation wieder vollumfänglich in Kraft tritt. Dies wird dann aber auch bedeuten, dass die Absicherung einer Datenübermittlung basierend auf dem Angemessenheitsbeschluss ungültig würde und die Verarbeitung umgestellt werden müsste. Im Einzelfall könnte dies zur Folge haben, dass dann eine Verarbeitung/Datenübermittlung beendet werden müsste, da sie sich ggf. nicht einfach auf Standarddatenschutzklauseln mit zusätzlichen Sicherheiten umstellen ließe.
Ihr Ansprechpartner
Tim Hoffmann
Weitere Veröffentlichungen
Mit unserem Info-Brief "UIMCommunic@tion" bieten wir Ihnen regelmäßige Informationen rund um Datenschutz und Informationssicherheit. Die bisherigen Veröffentlichungen können Sie jederzeit nachlesen:
