Seit dem 10.07.2023 gibt es den neuen Angemessenheitsbeschluss für die USA – das Data Privacy Framework. Um diese Neuigkeit kommen weder Datenschützer noch Unternehmen herum. Besonders für Unternehmen ist dies sicher ein Lichtblick am Datenschutzhorizont, denn die vorher stets benötigten Standardvertragsklauseln (SCC) und Datentransfer-Folgenabschätzungen (TIAs) waren nicht nur sehr zeitaufwendig, sondern auch höchst kompliziert. Warum diese erforderlich waren, erklärten wir bereits in diesem Blogbeitrag.
Unternehmen, die datenschutzkonform arbeiten möchten, verzichteten in dieser Folge oftmals auf den Einsatz von Dienstleistern und Tools aus den USA, denn das Risiko des behördlichen Zugriffs in den USA schwebte trotz SCC und TIA wie ein Damoklesschwert über ihnen.
Das Data Privacy Framework erklärt die USA zu einem sicheren Drittland
Das Data Privacy Framework verspricht, dass diese Sorgen von nun an der Vergangenheit angehören. Es erklärt die USA zu einem sicheren Drittland gem. Art. 45 DSGVO. Daneben schafft er für Unternehmen in den USA neue und verbindliche Garantien. So wird etwa der Zugriff von US-Geheimdiensten auf EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt und damit für eine sichere Datenverarbeitung gesorgt.
Daneben bietet das Data Privacy Framework Betroffenen die Möglichkeit Zugang zu ihren Daten zu erhalten bzw. unrichtige oder unrechtmäßig verarbeitete Daten berichtigen oder löschen zu lassen. Es schafft daneben mehrere Rechtsbehelfe für den Fall, dass personenbezogene Daten von US-Unternehmen nicht ordnungsgemäß behandelt werden (u. a. kostenlose unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle). Schließlich führt es mit dem Data Protection Review Court ein neues spezielles Gericht ein, zu dem EU-Bürger Zugang haben und das die Einhaltung von Datenschutzmaßnahmen prüft und Verfügungen (z. B. zur Datenlöschung) treffen kann.
Klingt sehr vielversprechend, aber hält es, was es verspricht?
Der Angemessenheitsbeschluss für die USA gilt künftig für Datenübermittlungen von öffentlichen und privaten Einrichtungen im EWR an US-Unternehmen, die zum Zeitpunkt der Datenübermittlung am Data Privacy Framework teilnehmen und entsprechend zertifiziert sind. Welche dies sind, erfährt man in folgender Liste des U.S. Departments of Commerce.
Um zertifiziert zu werden, müssen die US-Unternehmen öffentlich erklären, dass sie sich zur Einhaltung der Grundsätze aus dem Data Privacy Framework (ab Seite 4) verpflichten, ihre Datenschutzpolitik zur Verfügung stellen, diese vollständig umsetzen und noch weitere Infos bereitstellen. Die Grundsätze aus dem Data Privacy Framework umfassen etwa die Pflichten, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.
Welche Sicherheit gewährt eine Selbstzertifizierung?
Aber der Schein trügt: Dies ist keine Zertifizierung, die durch eine objektive Stelle erteilt wird, die all diese Punkte prüft. Es handelt sich vielmehr um eine Selbstzertifizierung der Unternehmen. Dies erklärt auch die bereits jetzt (Stand 11.08.2023) wahnsinnig hohe Zertifizierung von 2485 US-Unternehmen. Ob die Voraussetzungen für diese Selbstzertifizierung jemals überprüft werden, bleibt abzuwarten. Jedenfalls müssen diese jährlich erneuert werden.
Was müssen Sie nun tun?
Konsequenzen hat das Data Privacy Framework für all diejenigen, die personenbezogene Daten an Unternehmen in die USA übermitteln, d. h. quasi jeden. Grundsätzlich schafft ein Angemessenheitsbeschluss gem. Art. 45 DSGVO die Möglichkeit, personenbezogene Daten in dieses Land, für das der Beschluss gilt, zu übermitteln, ohne dass man die SCC abschließen muss. Allerdings gilt dies nur für Unternehmen, die nach den obigen Maßstäben zertifiziert sind. Sie müssen daher nun stets prüfen, ob Ihr Vertragspartner die entsprechende Zertifizierung besitzt. Darüber hinaus müssen Sie bei diesen nichts weiter tun, als einen AVV zu schließen.
Wir empfehlen Ihnen jedoch trotzdem, stets Ihren Vertragspartner gut zu überprüfen, auch ggf. unter Zuhilfenahme einer TIA. Denn als Verantwortlicher haben Sie stets die Pflicht, Ihre Auftragsverarbeiter im Hinblick auf deren Zuverlässigkeit gem. Art. 28 DSGVO zu kontrollieren. Weitere Garantien und Maßnahmen, wie z. B. starke Verschlüsselungen und Pseudonymisierung sollten ebenfalls immer vereinbart werden, um für einen sicheren Datentransfer zu sorgen.
Außerdem bleibt natürlich auch immer die Frage nach der Lebensdauer des Data Privacy Frameworks. Wie uns die Vergangenheit gezeigt hat, hatten ähnliche Angemessenheitsbeschlüsse (z. B. das Data Privacy Shield oder Safe Harbour) nicht lange Bestand. Max Schrems bereitet nach eigener Aussage bereits seine neue Klage gegen diesen Angemessenheitsbeschluss vor dem EuGH vor. Die weiteren Entwicklungen in diesem Bereich bleiben also spannend. Wir informieren Sie aber natürlich stets bei Neuigkeiten.
Wenn Sie noch Fragen hierzu haben oder etwas unklar sein sollte, dann melden Sie sich gerne bei uns! Wir sind bundesweit tätig und unterstützen Sie gerne: info@sidit.de oder 0931-780 877-0.
