DAS müssen Sie zum EU-US Data Privacy Framework wissen!
Spätestens seit dem 16.07.2020 standen Unternehmen vor besonders großen Herausforderungen für die Übermittlung von Daten an Unternehmen in den USA.
An diesem Tag erklärte der EuGH stattfindende Datenübermittlungen in die USA aufgrund der Privacy Shield Zertifizierung als nicht angemessen und widerrief den Status eines Angemessenheitsbeschlusses für zertifizierte Unternehmen (Schrems-II).
Seither müssen Unternehmen, die Daten in die USA übermitteln wollen, große Hürden nehmen, um Maßnahmen oder Bewertungen zu implementierten, welche eine Übermittlung absichern würden.
Neben dem zusätzlichen Aufwand erwies sich dies auch als rechtlicher Drahtseilakt, da nie vollständig geklärt werden konnte, welche Maßnahmen und Bewertungen durchgeführt werden müssten.
Seit dem 10.07.2023, fast exakt 3 Jahre nach der umfangreichen EuGH-Entscheidung, hat die EU-Kommission dem Angemessenheitsbeschluss für EU-US Übermittlungen durch den „Transatlantic Data Protection Framework (TADPF)“ zugestimmt. Was genau das nun allerdings heißt, haben wir einmal zusammengefasst:
Der lange Weg zum (Transatlantic Data) Privacy Framework.
Ob „Privacy Shield“, „Privacy Framework“ oder sogar „Safe Harbour“, die EU stellt bei der Frage, ob die USA ein angemessenes Datenschutzniveau vorweisen können immer fest, dass dies nur bedingt der Fall ist.
Da man allerdings freien Handel betreiben möchte, musste eine Lösung her, wie einzelne Unternehmen dennoch Daten von europäischen Staatsbürgern verarbeiten können. Die Lösung war schnell gefunden, keine allgemeine Freigabe für die gesamten USA, sondern nur für Unternehmen, die sich zertifizieren lassen.
Das "Safe Harbour-Abkommen" (2000-2015) machte hier den ersten Schritt in diese Richtung. Datenübermittlungen außerhalb der EU/des EWR waren seit 1995 (RL 95/46/EG) nur an solche Länder möglich, welche ein angemessenes Datenschutzniveau vorweisen konnten und die USA gehörten nicht dazu. Es wurde somit beschlossen, dass sich US-Unternehmen in den USA in eine Liste eintragen lassen konnten, um sich auf das "Safe Harbour-Abkommen" zu verpflichten.
In dem mittlerweile eher unbekannten „Schrems-I-Verfahren“ von 2015 stellte Maximilian Schrems dar, dass der Datenschutz durch die von Edward Snowden bekanntgemachten Überwachungstechniken US-amerikanischer Sicherheitsbehörden (z.B. PRISM), für EU-Staatsangehörige in den USA nicht gewährleistet werde.
Der EuGH stellte daraufhin ebenfalls fest, dass das "Safe Harbour-Abkommen" keine ausreichend sichere Grundlage für einen angemessenen Datentransfer darstelle, und erklärte die Praxis für unrechtmäßig.
Um dennoch den EU-US-Datentransfer aufrechtzuerhalten wurde ein neues Abkommen, unter Berücksichtigung einiger Änderungen am 12.07.2016 ins Leben gerufen, hierbei handelte es sich um das allbekannte EU-US Privacy Shield.
Gleiches Prinzip, anderer Name. Unternehmen können sich anhand einer Zertifizierung eine vermeintliche Angemessenheit bescheinigen lassen, wodurch EU-Unternehmen somit eine Übermittlung von Daten an diese zertifizierten US-Unternehmen möglich gemacht wurde.
In 2017 unterschrieb dann der damalige US-Präsident Donald Trump eine Anordnung, welche die Anwendung des „Privacy Acts“ für nicht US-Bürger nichtig machte.
Auch gegen das EU-US-Privacy Shield zog Maximilian Schrems vor Gericht und der EuGH entschied in seiner Rechtssache C311/18 „Schrems-II“, dass auch das EU-US Privacy Shield kein angemessenes Datenschutzniveau biete, wodurch am 16.07.2020 Datenübermittlungen in die USA auf Grundlage des Privacy Shields als rechtswidrig eingestuft wurden.
Seither ist die Hürde für Unternehmen, Daten in die USA zu übermitteln, deutlich höher. Ob es nun die Erforderlichkeit des Nachweises von geeigneten Garantien ist oder die Durchführung von Datentransfer-Folgenabschätzungen nach Klausel 14 der Standarddatenschutzklauseln 2021, der Aufwand hat sich um ein Vielfaches erhöht.
Umso gespannter wurde die Berichterstattung um die von US-Präsidenten Joe Biden veröffentlichte Anordnung 14086 verfolgt, welche einen Teil der vom EuGH im Schrems-II-Urteil angemerkten Kritiken adressierte. Spätestens mit dieser Anordnung war einer von vielen Meilensteinen auf dem Weg zu einem neuen Angemessenheitsbeschluss erreicht.
Nachdem somit in den vergangenen Monaten immer wieder kleine Hinweise oder Anmerkungen aus den Kreisen der EU-Kommission oder von beauftragten Sachverständigen bekannt gegeben wurden, war in der vergangenen Woche plötzlich eine unmissverständliche Genauigkeit in den Hinweisen vorhanden.
Am 06.07.2023 wurde nämlich der überarbeitete Entwurf des EU-US Data Privacy Frameworks von den Mitgliedstaaten bestätigt. Am gestrigen 10.07.2023 wurde dieser von der Kommission final bestätigt und implementiert.
Endlich Ruhe bei der Übermittlung von Daten an die USA?
Das Thema EU-US-Datentransfer wird sicherlich auch weiter heiß diskutiert werden. Maximilian Schrems und seine NGO noyb.eu haben bereits nach der Implementierung des TADPF angekündigt, rechtliche Schritte gegen den Angemessenheitsbeschluss vorzubereiten. Ob diese berechtigt oder erfolgreich sein werden, lässt sich zum aktuellen Zeitpunkt noch nicht sagen.
Die EU-Kommission schlug noch während der Pressekonferenz vor, das neue Verfahren doch erst einmal zu testen und bezog sich dabei direkt auf eine Frage aus dem Publikum zu der Stellungnahme von Maximilian Schrems.
Auch der französische Abgeordnete Philippe Latombe hat zwischenzeitlich rechtliche Schritte gegen die Verabschiedung des Abkommens eingeleitet.
Nachtrag vom 16.10.2023: Zwischenzeitlich hatte der EuGH die Klage als unbegründet zurückgewiesen, da nicht nachgewiesen ausreichend werden könne, dass der Art. 45 DSGVO keine ausreichende Sicherheit biete. Zudem seien Maßnahmen nach Art. 46 DSGVO weiterhin geltend.
Ob und wie schnell Unternehmen sich also wieder von dem TADPF verabschieden müssen, ist somit noch überhaupt nicht erkennbar. Es bleibt auch weiterhin offen, ob die Zertifizierungsanforderungen regelmäßig verschärft werden können, sodass sich US-Unternehmen an Anpassungen in der europäischen Rechtsprechung halten müssen.
Was bedeutet das für Unternehmen und was muss noch passieren?
Grundlegend scheint somit ein Licht am Horizont, wenn es um den EU-US-Datentransfer geht.
Eine Übermittlung von personenbezogenen Daten von EU-Staatsbürgern an zertifizierte US-Unternehmen scheint somit bald ohne aufwändigen Prüfaufwand möglich zu sein.
Entgegen der reißerischen Einschätzung mancher Kolleginnen und Kollegen „ab sofort sei keine umfangreiche Bewertung mehr erforderlich“, muss klar abgetrennt werden, dass ausschließlich an dem Framework beteiligte Unternehmen einer Angemessenheit nach Art. 45 DSGVO unterliegen. Für alle anderen Unternehmen gelten weiterhin die Grundlagen nach Art. 46, 49 DSGVO.
Alle teilnehmenden Unternehmen kann man sich auf der offiziellen Seite des Frameworks anschauen.
Fazit und persönliche Einschätzung
Das man das Rad nicht neu erfinden wollte/musste war bereits absehbar. Der Transatlantic Data Privacy Framework ist unter Datenschützern auch als Privacy Shield 2.0 bekannt. Einerseits durch den gewählten Ansatz, andererseits durch die darin enthaltenen offenen Fragen und das absehbare Klageverfahren von Maximilian Schrems.
Die Webseite des Frameworks (dataprivacyframework.gov) schien dabei einigen Kolleginnen und Kollegen ein recht klarer Indikator zu sein. Diese leitete nämlich bis 2 Wochen nach der Bekanntgabe noch auf das Verzeichnis des seit 2020 nicht mehr gültigen Privacy Shields um, was auch bei uns für ein Grinsen sorgte
Dennoch wurde mit dem TADPF ein wichtiger Schritt in die richtige Richtung vollzogen.
Unternehmen aus der EU haben die Möglichkeit Datenübermittlungen an US-Unternehmen durchzuführen auf der Basis einer einheitlichen Rahmenbedingung. Diensteanbieter wie Microsoft und co. werden durch die Teilnahme an dem Framework zudem dazu verpflichtet sich noch strenger an europäische Grundwerte zu halten.
Den größten Vorteil haben jedoch EU-Unternehmen, diesen wird mit dem TADPF endlich eine Möglichkeit gegeben zu überprüfen, ob das Datenschutzniveau bei den eingesetzten Dienstleistern als angemessen eingestuft werden kann. Dadurch lassen sich diverse Geschäftsfelder ausbauen und etwaige Risiken direkt bei der Auswahl von Dienstleistern minimieren.
Ich persönlich bin mit den bisher vorhandenen Informationen positiv gestimmt und freue mich, dass für Sie nun eine klare Vereinheitlichung bei Datenübermittlungen in die USA herrschen.
Checkliste für Unternehmen
Für Verarbeitungen mit Datenübermittlungen in die USA sollten Unternehmen ein Auge auf die folgenden Punkte haben und diese im Prüfprozess implementieren:
- Überprüfung der Verträge: Unternehmen sollten sowohl bei bestehenden als auch bei neuen Verträgen mit Datenempfängern in den USA prüfen, ob diese nach den Kriterien des TADPF zertifiziert sind. Falls nicht, sind alternative Transferinstrumente erforderlich.
- Anpassung der Datenschutzerklärung: Die Datenschutzerklärung sollte aktualisiert werden, um den Umstand eines Drittstaatentransfers, den Empfänger und das verwendete Transferinstrument (SCC oder TADPF) zu benennen.
- Überprüfung der Data Processing Agreements (DPA): Bestehende DPAs sollten darauf hinüberprüft werden, ob Anpassungen im Hinblick auf die Grundlage des Drittstaatentransfers erforderlich sind.
- Weitere Compliance-Pflichten: Zusätzlich zu den oben genannten Punkten gibt es weitere Compliance-Anforderungen, die im Zusammenhang mit Drittstaatentransfers erfüllt werden müssen. Dazu gehören die Anpassung von Templates zur Beauskunftung von Betroffenen und die Überwachung von Auftragsverarbeitern.