EU-US Data Privacy Framework

Das EU-US Data Privacy Framework: Eine Einführung

Das EU-US Data Privacy Framework, kurz DPF, ist ein neues Datenschutzabkommen zwischen der Europäischen Union und den USA. Es wurde entwickelt, um den sicheren Transfer personenbezogener Daten zwischen den beiden Regionen zu ermöglichen und die Datenschutzrechte der EU-Bürger zu schützen.

Bedingungen für den Datentransfer in die USA

Personenbezogene Daten dürfen nun in die USA transferiert werden, wenn der US-Dienstleister dem DPF beigetreten ist und sich verpflichtet hat, die hohen Datenschutzstandards der EU einzuhalten. Darüber hinaus muss der Datenexporteur in der EU sicherstellen, dass der Datentransfer den Anforderungen der DSGVO entspricht. Mit dem Angemessenheitsbeschluss der EU-Kommission, wird den unter dem DPF zertifizierten Unternehmen ein hinreichendes Datenschutzniveau bescheinigt.

Warum die Vorgänger des DPF gescheitert sind

Die Vorgänger des DPF, das Safe Harbor-Abkommen und der Privacy Shield, wurden vom Europäischen Gerichtshof für ungültig erklärt. Der Hauptgrund dafür war, dass sie den EU-Bürgern keinen ausreichenden Schutz ihrer Daten vor dem Zugriff durch US-Behörden boten. Die USA haben im Vergleich zu früheren Vereinbarungen weitreichende Maßnahmen ergriffen, um ein angemessenes Datenschutzniveau zu gewährleisten. Diese Schritte wurden unternommen, um sicherzustellen, dass das DPF nicht das gleiche Schicksal erleidet.

Was unterscheidet das DPF von seinen Vorgängern?

Das DPF unterscheidet sich von seinen Vorgängern durch eine Reihe von Verbesserungen und neuen Mechanismen, die darauf abzielen, den Datenschutz der EU-Bürger zu stärken. Dazu gehören strengere Kontrollen und Sanktionen für US-Unternehmen, die gegen die Datenschutzbestimmungen verstoßen, sowie verbesserte Rechtsmittel für EU-Bürger. Die neue Executive Order bringt Verbesserungen für EU-Bürger, deren personenbezogene Daten in die USA übermittelt werden. US-Geheimdienste müssen nun auch bei EU-Bürgern prüfen, ob der Zugriff auf ihre Daten verhältnismäßig ist. EU-Bürger können eine Beschwerde beim "Civil Liberties Protection Officer” der US-Geheimdienste einreichen, der die Verantwortung dafür trägt, dass die Privatsphäre und Grundrechte gewahrt werden. Einzelpersonen haben die Möglichkeit, die Entscheidung des “Civil Liberties Protection Officer" vor dem neu geschaffenen “Data Protection Review Court" anzufechten. Der Review Court besteht aus unabhängigen Mitgliedern, die aufgrund spezieller Qualifikationen ernannt werden und Beschwerden von EU-Bürgern untersuchen können. Der Court ist berechtigt, relevante Informationen von Geheimdiensten anzufordern und verbindliche Entscheidungen zu treffen, wie beispielsweise die Anordnung der Löschung von Daten, die unter Verstoß gegen die in der Executive Order vorgesehenen Schutzmaßnahmen erhoben wurden. Ob dies in Zukunft das Risiko eines Datenmissbrauchs durch US-Geheimdienste minimiert, wird wohl erst der Europäische Gerichtshof (EuGH) entscheiden.

Ist der Einsatz von US-Dienstleistern nun rechtssicher?

US-Dienstleister, die unter dem Data Privacy Framework zertifiziert sind, können derzeit als rechtssicher betrachtet werden. Die Vereinbarung zwischen der EU und den USA führte dazu, dass die USA bessere Datenschutzmaßnahmen für EU-Bürger einführten und die EU-Kommission ein → angemessenes Datenschutzniveau in den USA feststellte. Es gibt Bedenken bezüglich der Angemessenheit der Datenschutzmaßnahmen in den USA. Datenschützer halten sie nach wie vor für unzureichend. Es besteht die Möglichkeit, dass das DPF in den nächsten 3-5 Jahren vom Europäischen Gerichtshof als unwirksam erklärt wird. Das könnte erneut Rechtsunsicherheit verursachen. Unternehmen sollten dieses Risiko bei der Verwendung von US-Dienstleistern berücksichtigen.

Beteiligte Länder am Data Privacy Framework

Das DPF ist ein Abkommen zwischen der EU und den USA. Es gilt für alle EU-Mitgliedstaaten und alle US-Unternehmen, die sich dazu verpflichten, die Datenschutzstandards des DPF einzuhalten.

Die Rolle der Schweiz im Data Privacy Framework

Ab September 2023 gilt in der Schweiz ein neues Datenschutzgesetz, das eine vergleichbare Datensicherheit wie die EU-Datenschutz-Grundverordnung (DSGVO) für Datentransfers ins Ausland fordert. Allerdings gibt es noch keinen Angemessenheitsbeschluss des Bundesrates für den Datenschutz. Bis dahin müssen Schweizer Unternehmen, die personenbezogene Daten in die USA übermitteln, andere Mechanismen wie Standardvertragsklauseln oder Binding Corporate Rules verwenden, um ein angemessenes Schutzniveau zu gewährleisten. US-Unternehmen müssen ihr Zertifikat auch auf die Schweiz ausdehnen, was geprüft werden muss.

US-Anbieter und das Data Privacy Framework

Alle US-Anbieter, die personenbezogene Daten aus der EU verarbeiten, können dem DPF beitreten. Die teilnehmenden US-Unternehmen müssen sich in einem → Selbstzertifizierungsprozess qualifizieren. Einige große Technologieunternehmen wie Google, Microsoft und Meta, aber auch kleinere Unternehmen und Start-ups haben sich bereits zertifiziert und sind über die → Suche des DPFrecherchierbar. Es ist zu erwarten, dass weitere Anbieter in den nächsten Wochen dazukommen. Bitte beachte, dass es wichtig ist, die Angaben zum Umfang der Zertifizierung zu berücksichtigen. Das bedeutet, dass ein Unternehmen möglicherweise nicht die gesamte Organisation oder alle Produkte zertifiziert. Es kann stattdessen nur bestimmte Teile des Unternehmens oder bestimmte Produkte geben, die zertifiziert werden. Es ist daher von großer Bedeutung, den Umfang der Zertifizierung zu verstehen um sicherzustellen, dass die richtigen Bereiche oder Produkte zertifiziert werden.

Mögliche Hürden für das DPF

Das DPF könnte aus verschiedenen Gründen scheitern. Zum einen wird es von Datenschützern in der EU kritisiert. Zum anderen könnte es, wie seine Vorgänger, vom Europäischen Gerichtshof für ungültig erklärt werden, wenn es den Datenschutzstandards der EU nicht gerecht wird.

Was passiert, wenn das DPF für ungültig erklärt wird?

Wenn das DPF für ungültig erklärt wird, wäre der Transfer personenbezogener Daten von der EU in die USA unter diesem Abkommen nicht mehr zulässig. Unternehmen müssten dann andere Mechanismen zur Einhaltung der DSGVO finden, wie z.B. auf die Standardvertragsklauseln zurückgreifen.

Standardvertragsklauseln: Noch relevant oder obsolet?

Trotz des neuen DPF bleiben Standardvertragsklauseln ein wichtiger Mechanismus für den internationalen Datentransfer. Sie bieten eine Alternative zum DPF und können insbesondere dann nützlich sein, wenn das DPF für ungültig erklärt wird.

Die Notwendigkeit eines „Transfer Impact Assessment“

Ein "Transfer Impact Assessment" ist eine Bewertung der Risiken, die mit dem Transfer personenbezogener Daten in ein Drittland verbunden sind. Es ist empfehlenswert, ein solches Assessment trotz DPF weiterhin durchzuführen, um sicherzustellen, dass der Datentransfer den Anforderungen der DSGVO entspricht.

Das Risiko von Bußgeldern

Unternehmen, die gegen die DSGVO verstoßen, können mit hohen Bußgeldern belegt werden. Dies gilt auch für Unternehmen, die personenbezogene Daten in die USA transferieren, ohne die Anforderungen des DPF oder anderer geeigneter Datenschutzmechanismen zu erfüllen.

Wie man dauerhafte Rechtssicherheit erreicht

Dauerhafte Rechtssicherheit kann durch die Einhaltung der DSGVO und anderer relevanter Datenschutzgesetze erreicht werden. Dies beinhaltet die Durchführung regelmäßiger Datenschutzprüfungen und die Anpassung der Datenschutzpraktiken an neue Entwicklungen und Anforderungen. Der Einsatz von EU-basierten Anbietern für Dienstleistungen und Cloud-Services bietet hier eine wesentlich größere Sicherheit. Allerdings nur dann, wenn der Anbieter seinen Sitz in der EU hat, die Daten innerhalb der EU verarbeitet werden und er selbst keine Subunternehmer in den USA einsetzt. Am besten ist es, individuell zu prüfen, ob es für den gewünschten Service eine EU-Alternative gibt.

Aktualisierung der Datenschutzerklärung

Unternehmen, die dem DPF beitreten, müssen in der Datenschutzerklärung entsprechend ausgewiesen werden, um Nutzer über die neuen Datenschutzpraktiken zu informieren. Eine Aktualisierung der Datenschutzhinweise auf der Website und an anderen Stellen ist daher notwendig.

Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten ist ein Dokument, in dem Unternehmen alle Verarbeitungstätigkeiten personenbezogener Daten auflisten müssen. Wenn dein Unternehmen US-Anbieter und -Dienstleister nutzt, die im DPF vertreten sind, dann ist eine Aktualisierung des Verzeichnis erforderlich, um diese Änderung widerzuspiegeln.

EDSA veröffentlicht FAQs

Der Europäische Datenschutzausschuss (EDSA, bzw. European Data Protection Board = EDPB) hat ein neues Dokument veröffentlicht, das weitere Informationen zu Datenübertragungen in die USA gemäß DSGVO zur Verfügung stellt. Die FAQs betonen, dass alle Sicherheitsvorkehrungen, die von der US-Regierung im Bereich der nationalen Sicherheit getroffen wurden, auf alle Datenübermittlungen in die USA anwendbar sind. Datenexporteure sollten bei der Bewertung des Risikos des Übertragungsinstruments die Bewertung in der Angemessenheitsentscheidung der Kommission berücksichtigen.

→ Das Dokument kannst du hier als PDF herunterladen (Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023)

Die wichtigsten Informationen zum DPF auf einen Blick

Das DPF ist ein neues Datenschutzabkommen zwischen der EU und den USA, das den sicheren Transfer personenbezogener Daten ermöglicht. Es bietet strengere Datenschutzstandards und Kontrollmechanismen als seine Vorgänger, wird sich aber erst in der Praxis in den nächsten Monaten und Jahren beweisen müssen.

1. Die Vereinbarung zwischen den USA und der EU heißt “Data Privacy Framework".
2. Im Rahmen dieser Vereinbarung haben die USA bessere Schutzmaßnahmen für EU-Bürger eingeführt.
3. Im Gegenzug hat die EU-Kommission ein angemessenes Datenschutzniveau in den USA festgestellt (sog. Angemessenheitsbeschluss).
4. US-Unternehmen müssen sich selbst zertifizieren lassen, um sich auf das DPF berufen zu können.
5. Wenn US-Dienstleister unter dem DPF zertifiziert sind, können EU-Unternehmen ihre Dienste in Anspruch nehmen.
6. Bei der Erwähnung von US-Anbietern in der Datenschutzerklärung oder im Verzeichnis von Verarbeitungstätigkeiten sollte auf das DPF als Grundlage verwiesen werden.
7. Kritiker halten die Datenschutzmaßnahmen der USA für unzureichend, wodurch das Risiko besteht, dass das DPF wie seine Vorgänger vom EuGH für unwirksam erklärt wird.
8. Deshalb sollten Unternehmen oder Behörden beim Einsatz von US-Diensten eine Datentransfer-Folgeabschätzung (sog. “Transfer Impact Assessment”, kurz TIA) erstellen, da das DPF möglicherweise in 3-5 Jahren für unwirksam erklärt wird und die Rechtsunsicherheit zurückkehren könnte.

Fazit

Das DPF bietet eine neue Möglichkeit für den sicheren Transfer personenbezogener Daten zwischen der EU und den USA. Unternehmen, die US-Dienstleister nutzen, sollten das DPF genau prüfen und gegebenenfalls ihre Datenschutzpraktiken anpassen. Für Unternehmen und Behörden stellt sich die Frage des Einsatzes von US-Anbietern aufgrund möglicher Unsicherheiten. Eine mögliche Lösung, um sich gegen zukünftige Unwägbarkeiten zu wappnen, ist der Wechsel zu EU-Anbietern. Allerdings gibt es hier oft keine passenden Alternativen. Somit bleibt der Einsatz von US-Anbietern auch in Zukunft ein potenzielles "Betriebsrisiko". Es ist jedoch wichtig, die Entwicklungen rund um das DPF genau zu verfolgen und sich auf mögliche Änderungen vorzubereiten.

‍