Neuer Angemessen­heits­­­­beschluss zwischen Europäischer Union und USA

Großer Paukenschlag in Brüssel: Die Europäische Kommission hat den neuen Angemessenheitsbeschluss – das Trans-Atlantic Data Privacy Framework („TADPF“) oder auch Data Privacy Framework („DPF“) – zwischen den USA und der EU angenommen. Das ist der dritte Anlauf der Europäischen Kommission, ein angemessenes Abkommen mit den USA auszuhandeln.

Wieso Sie davon betroffen sind:

Auf Ihrer Website haben Sie zumindest einen Dienst eingebunden, dessen Anbieter*in seinen oder ihren Sitz in den USA hat. Das bedeutet, dass in der Regel personenbezogene Daten außerhalb der EU in ein Drittland übermittelt werden. Die DSGVO sieht vor, dass die Übermittlung nur erfolgen darf, wenn sie bspw. auf einen Angemessenheitsbeschluss Art. 45 DSGVO oder geeignete Garantien, z.B. Standardvertragsklauseln („SCCs“) Art. 46 DSGVO, gestützt werden kann.

Durch das Data Privacy Framework gelten die USA datenschutzrechtlich als ein sicherer Drittstaat nach Art. 45 DSGVO mit der Folge, dass die SCCs nicht mehr erforderlich sind. Eine ausführlichere Darstellung der Problematik mit der Datenübermittlung in Drittländer finden Sie im Tipp der Woche „DSGVO: Datenübermittlung ins Ausland

Welche Neuerungen gibt es mit dem Abkommen?

Ziel des DPFs ist es in aller erster Linie, die Mängel der Vorgänger zu beheben. Wie beim Privacy Shield, müssen sich die Anbieter*innen aus den USA zunächst zertifizieren lassen, damit das DPF Anwendung findet.  Unternehmen, die bereits nach dem Privacy Shield zertifiziert wurden, werden durch ein vereinfachtes Verfahren zügiger die Zertifizierung nach dem Data Privacy Framework erhalten. Die International Trade Kommission hat online eine Auflistung der Anbietern*innen zur Verfügung gestellt und es finden sich dort einige Eintragungen, die auch als aktiv gelten. So sind beispielhaft Amazon, Google, Meta, Microsoft etc. dort aufgelistet.

Die neuen Datenschutzpflichten, die auf die US-amerikanischen Dienstleister*innen zukommen, beinhalten z.B. :

  • personenbezogene Daten müssen gelöscht werden, wenn der Zweck, für den sie erhoben worden sind, erreicht ist
  • bei Weitergabe der personenbezogenen Daten an Dritte muss der Fortbestand des Schutzes weiterhin sichergestellt sein
  • der Zugang von US-amerikanischen Nachrichtendiensten auf das notwendige und verhältnismäßige Maß beschränkt werden
  • es wird ein Rechtsbehelfssystem in den USA eingeführt, an welches sich europäische Betroffene wenden können. Dazu soll auch ein „unabhängiges Datenschutzüberprüfungsgericht“ („Data Protection Review Court“) gehören

Damit soll ein sicheres Datenschutzniveau für personenbezogene Daten sichergestellt werden.

Was müssen Sie tun?

Der neue Angemessenheitsbeschluss eröffnet die Möglichkeit, künftig auf den Abschluss der Standardvertragsklauseln („SCCs“) und das Transfer Impact Assessment („TIA“) verzichten zu können.

Einen Haken hat das Ganze dennoch: die Zertifizierung der Dienstleister*innen nach dem Data Privacy Framework. Ohne diese kann als Rechtsgrundlage der DPF nicht herangezogen werden.

Einige Dienstleister*innen werden in den kommenden Monaten ihre Kundschaft über die rechtlichen Änderungen informieren und die AV-Verträge aktualisieren, bzw. neu abschließen. Sie können sich bei Ihren Dienstleister*innendarüber informieren, ob Schritte dazu geplant sind.

Erst dann im nächsten Schritt müssen z. B. die Datenschutzerklärung und weitere datenschutzrechtliche Dokumente angepasst werden.

Ausblick

Die Vorläufer des Data Privacy Frameworks waren das Privacy Shield sowie das Safe-Harbour-Abkommen. Beide Angemessenheitsbeschlüsse wurden mit dem Schrems I Urteil vom 06.10.2015 sowie Schrems II Urteil vom 16.07.2020 gekippt. Die antreibende Kraft war Max Schrems, nach dem auch die beiden Urteile benannt wurden.

Das ist insofern relevant, da eben dieser angekündigt hat, möglichst bald gegen das Data Privacy Framework vorzugehen (s. Artikel hierzu), da dieses nicht einen ausreichendes Datenschutzniveau bieten kann.

Max Schrems ist nicht der Einzige, der Vorbehalte zum neuen Angemessenheitsbeschluss hatte. Der Europäische Datenschutzausschuss (EDSA) hatte im Vorfeld einige Bedenken geäußert insbesondere im Hinblick auf die tatsächliche, praktische Umsetzung des Datenschutzrahmens sowie möglicher Ausnahmen zur Massenerhebung von Daten in den USA. In den kommenden Wochen wird es zur finalen Fassung des DPFs eine Stellungnahme seitens des EDSAs geben.

Fazit

Das Data Privacy Framework sollte nicht als „Allheilmittel“ für die Drittlandsproblematik angesehen werden, sondern vielmehr als eine zusätzliche Option. Zum jetzigen Zeitpunkt ist es schwierig abzuschätzen, wie sich die Thematik weiterentwickeln wird. Es ist unklar, ob das Data Privacy Framework wirklich ausreichend das Datenschutzniveau garantieren kann. Ebenso bleibt abzuwarten, wann sich Dienstleister*innen zertifizieren lassen und ihre AV-Verträge anpassen werden.

20.07.23
Marta Petrov

Marta Petrov

Select Country: