Drimalski & Partner Blog Datenschutz News 07/2023

Datenschutz News 07/2023

In unseren Datenschutz-News 07/2023 „Unverhofft kommt oft“ informieren wir Sie zu dem unerwarteten Durchbruch für Datentransfer in die USA durch Verabschiedung des Angemessenheitsbeschlusses der EU-Kommission.

Unverhofft kommt oft – EU-Kommission verabschiedet Angemessenheitsbeschluss für den Datentransfer in die USA

Die EU-Kommission hat ihren Angemessenheitsbeschluss für das neue EU-US-Datenschutzabkommen (EU-US Data Privacy Framework, DPF) am 10.07.2023 angenommen. Darin wird bestätigt, dass die USA ein hinreichendes Schutzniveau für personenbezogene Daten gewährleisten. Das heißt, dass das Datenschutzniveau in den USA als gleichwertig mit dem EU-Datenschutz eingestuft wird. Der Datentransfer aus der EU an US-Unternehmen wird dadurch künftig deutlich vereinfacht. Aber Achtung: US-Unternehmen, an die Daten auf Basis des Angemessenheitsbeschlusses übermittelt werden soll, müssen sich in den USA zunächst noch zertifizieren lassen.

Die Zertifizierung der US-Unternehmen ist über die vom US-Handelsministerium betriebene Website vorzunehmen.
Es ist davon auszugehen, dass sich die meisten US-Unternehmen, die Daten aus Europa empfangen, in den nächsten Wochen um diese Zertifizierungen bemühen werden. Auf der o.g. Website des US-Handelsministeriums wird künftig eine aktualisierte Liste der zertifizierten und der ehemals zertifizierten Unternehmen (mit Angabe der Gründe für die Streichung) veröffentlicht. Die Zertifizierung muss jährlich aktualisiert werden. Damit garantieren US-Unternehmen, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten, beispielsweise die Anforderung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erfasst wurden, nicht mehr erforderlich sind, und die Kontinuität des Schutzes sicherzustellen, wenn personenbezogene Daten mit anderen geteilt werden.

Darüber hinaus sieht der neue Rechtsrahmen eine Reihe von Schutzmaßnahmen für den Zugriff auf Daten vor, die im Rahmen des DPF von US-amerikanischen Behörden übermittelt werden, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugriff auf Daten ist auf das zum Schutz der nationalen Sicherheit erforderliche und verhältnismäßige Maß beschränkt, betont die EU-Kommission. Die EU-Kommission sieht im neuen DPF erhebliche Verbesserungen im Vergleich zu dem unter dem Privacy Shield bestehenden Mechanismus, das vor drei Jahren für ungültig erklärt wurde.

Alle bisherigen Rechtsgrundlagen für Datentransfers in die USA, wie beispielsweise Standardvertragsklauseln, bleiben wirksam und bis zur Zertifizierung des die Daten empfangenden US-Unternehmens auch erforderlich. Nicht vom Angemessenheitsbeschluss abgedeckt sind zudem Datentransfers aus den USA an Subunternehmer in anderen Drittstaaten. Insoweit bedarf es alternativer Rechtsgrundlagen (z.B. Standardvertragsklauseln). Im Übrigen werden Unternehmen auch weiterhin ihre datenschutzrechtlichen Hausaufgaben zu erledigen haben, insbesondere müssen sie ihre Datenströme genau kennen und dokumentieren. Sofern Datentransfers künftig auf den Angemessenheitsbeschluss gestützt werden, sind Verträge und Datenschutzhinweise entsprechend anzupassen.

Max Schrems, Datenschutzaktivist und Vorsitzender der Non-Profit-Organisation noyb, der bereits im Dezember 2022 den Entwurf des DPFs kritisiert hatte, hat wenig überraschend bereits angekündigt, auch gegen das neue EU-US-Datenschutzabkommen rechtlich vorzugehen und eine entsprechende Stellungnahme veröffentlicht. Darin geht Schrems davon aus, dass die Angelegenheit bereits Anfang 2024 wieder vor dem EuGH landen werde und hält sogar eine vorläufige Aussetzung des EU-US-Datenschutzabkommen für möglich. Weiterhin führt die Stellungnahme aus, dass sich, anders als von der EU behauptet, am US-Recht wenig ändere. Das grundsätzliche Problem mit FISA 702 würde von den USA nicht angegangen werden, wodurch nach wie vor nur US-Personen verfassungsmäßige Rechte hätten und nicht anlasslos überwacht werden dürften.

Wichtige Praxistipps, um Datentransfers künftig auf den Angemessenheitsbeschluss zu stützen:

  • Zertifizierung des US-Unternehmens unter dem neuen EU-US DPF prüfen und verifizieren lassen,
  • Datenströme prüfen, insbesondere dahingehend, ob Subunternehmer in anderen Drittstaaten eingesetzt werden (dann reicht der Angemessenheitsbeschluss allein nicht aus),
  • Datenschutz-Folgenabschätzungen (DSFA) anpassen, insbesondere im Hinblick auf die Risikobewertung im Zusammenhang mit dem Drittlandtransfer,
  • Datenschutzverträge, u.a. Auftragsverarbeitungsvertrag (AVV), und Datenschutzhinweise, u.a. auf Webseiten anpassen und Verzeichnis der Verarbeitungstätigkeiten (VVT) aktualisieren.

Das EU-US DPF stellt dennoch kein Freifahrtschein für EU-Unternehmen für einen beliebigen Datentransfer in die USA dar! Für den Datentransfer müssen weiterhin auf Basis der DSGVO Rechtsgrundlagen bestehen, die die Datenverarbeitung erlauben. Gerne unterstützen wir Sie hier bei einer entsprechenden Prüfung und der Umsetzung der o.g. Maßnahmen und Praxistipps.

Quellen: SKW Schwarz Rechtsanwälte Steuerberater Partnerschaft mbB; Durchbruch für Datentransfer in die USA - EU-Kommission nimmt Angemessenheitsbeschluss an; München; 11.07.2023 .//. Vogel IT-Medien GmbH; Redaktion IT-Business; Was leistet das neue Data Privacy Framework?; Augsburg; 12.07.2023.

Die vollständige News als PDF können Sie hier herunterladen.

zurück

Anmeldung zum Infoletter

Nutzen Sie die Chance in unregelmäßigen Abständen alle wichtigen News zu den Themen IT Security, digitale Lösungen und weiteren IT-Dienstleistungen zu erhalten.