EU-US-Data Privacy Framework

Am 10. Juli hat die Europäische Kommission ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA, auch bekannt als Data Privacy Framework (DPF), angenommen. Diese Vereinbarung ist das Ergebnis von Verhandlungen zwischen den USA und der EU, bei denen die USA versprachen, stärkere Datenschutzmaßnahmen zum Schutz von EU-Bürgern einzuführen. Im Gegenzug hat die EU-Kommission das Datenschutzniveau in den USA als angemessen eingestuft.

Ist der Einsatz von US-Dienstleistern jetzt rechtssicher?

Aktuell können US-Dienstleister, die unter dem DPF zertifiziert sind, rechtssicher von EU-Unternehmen eingesetzt werden. Die Zertifizierung muss von den US-Unternehmen selbst durchgeführt werden und ist eine Voraussetzung, um sich auf das DPF berufen zu können. EU-Unternehmen, die auf die Dienste von US-Anbietern zurückgreifen, sollten in ihrer Datenschutzerklärung sowie im Verzeichnis von Verarbeitungstätigkeiten auf das DPF als Grundlage hinweisen.

Welche Länder sind an dem Data Privacy Framework beteiligt?

Das Data Privacy Framework ist eine Vereinbarung zwischen der Europäischen Union und den Vereinigten Staaten von Amerika.

Welche US-Anbieter fallen unter das Data Privacy Framework?

Alle US-Unternehmen, die sich selbst zertifizieren lassen, können unter das DPF fallen. Eine Liste der zertifizierten Unternehmen ist auf der offiziellen Website des DPF unter https://www.dataprivacyframework.gov/ einsehbar.

Was passiert, wenn das Data Privacy Framework für unwirksam erklärt wird?

Es gibt Bedenken, dass das DPF von Datenschützern für unzureichend gehalten wird und daher das Risiko besteht, dass es vom EuGH für unwirksam erklärt wird. Sollte das der Fall sein, könnte die Rechtsunsicherheit zurückkehren. In solch einem Fall wäre ein Rückgriff auf EU-Standardvertragsklauseln (SCC) möglich.

Was ist mit den SCC, die vor dem Inkrafttreten des DPF abgeschlossen wurden?

Die vor dem Inkrafttreten des DPF abgeschlossenen Standardvertragsklauseln behalten ihre Gültigkeit. Die SCC enthalten eine Vereinbarung zur Auftragsverarbeitung nach Artikel 28 DS-GVO für Datenübermittlungen an Auftragsverarbeiter. Bei der EU-US-DPF ist dies nicht der Fall. Vergewissern Sie sich also, dass Sie eine Vereinbarung zur Auftragsverarbeitung mit DPF-zertifizierten US-Datenimporteuren abgeschlossen haben, wenn dies relevant ist.

Brauchen wir noch eine TIA für die USA?

Ob eine Transfer Impact Assessment (TIA) für die USA notwendig ist, hängt stark von der spezifischen Situation ab. Ist der US-Importeur nach dem alten Privacy-Shield-Programm oder dem neuen DPF zertifiziert, ist in der Regel keine TIA erforderlich. Der Angemessenheitsbeschluss bietet in diesem Fall die notwendige Grundlage für den sicheren Datentransfer, auch wenn die EU-Standardvertragsklauseln (SCC) zusätzlich genutzt werden.

Allerdings gibt es Situationen, in denen eine TIA sinnvoll oder sogar notwendig sein könnte. Zum Beispiel wenn der Datenimporteur in den USA nicht nach DPF zertifiziert ist, wie es bei vielen konzerninternen Übermittlungen der Fall sein kann. Hier kann eine TIA dazu beitragen, die Risiken und den Schutzbedarf zu bewerten und entsprechende Maßnahmen zu ergreifen.

Letztendlich ist es die Verantwortung der datenexportierenden Unternehmen im EWR, zu beurteilen, ob eine TIA notwendig ist und welche Schlussfolgerungen daraus gezogen werden. Dabei sollte beachtet werden, dass die Europäische Kommission trotz der Einstufung der USA als qualifizierte Organisation nach EO 14086 immer noch unterschiedliche Ansichten zur Angemessenheit des Datenschutzniveaus in den USA hat. Es bleibt also eine Frage des individuellen Risikomanagements und der Compliance mit der DSGVO.

Was ist sonst noch zu tun?

Organisationen und Behörden sollten bei der Nutzung von US-Diensten neben dem Vorliegen der Verträge sicherstellen, dass die Datenschutzerklärungen und das Verzeichnis von Verarbeitungstätigkeiten entsprechend aktualisiert und angepasst werden, um auf die Nutzung des DPF als Grundlage für den Einsatz von US-Anbietern hinzuweisen.