Großer Paukenschlag in Brüssel: Die Europäische Kommission hat den neuen Angemessenheitsbeschluss – das Trans-Atlantic Data Privacy Framework („TADPF“) oder auch Data Privacy Framework („DPF“) – zwischen den USA und der EU angenommen. Das ist der dritte Anlauf der Europäischen Kommission, ein angemessenes Abkommen mit den USA auszuhandeln.
Auf Ihrer Website haben Sie zumindest einen Dienst eingebunden, dessen Anbieter*in seinen oder ihren Sitz in den USA hat. Das bedeutet, dass in der Regel personenbezogene Daten außerhalb der EU in ein Drittland übermittelt werden. Die DSGVO sieht vor, dass die Übermittlung nur erfolgen darf, wenn sie bspw. auf einen Angemessenheitsbeschluss Art. 45 DSGVO oder geeignete Garantien, z.B. Standardvertragsklauseln („SCCs“) Art. 46 DSGVO, gestützt werden kann.
Durch das Data Privacy Framework gelten die USA datenschutzrechtlich als ein sicherer Drittstaat nach Art. 45 DSGVO mit der Folge, dass die SCCs nicht mehr erforderlich sind. Eine ausführlichere Darstellung der Problematik mit der Datenübermittlung in Drittländer finden Sie im Tipp der Woche „DSGVO: Datenübermittlung ins Ausland“
Ziel des DPFs ist es in aller erster Linie, die Mängel der Vorgänger zu beheben. Wie beim Privacy Shield, müssen sich die Anbieter*innen aus den USA zunächst zertifizieren lassen, damit das DPF Anwendung findet. Unternehmen, die bereits nach dem Privacy Shield zertifiziert wurden, werden durch ein vereinfachtes Verfahren zügiger die Zertifizierung nach dem Data Privacy Framework erhalten. Die International Trade Kommission hat online eine Auflistung der Anbietern*innen zur Verfügung gestellt und es finden sich dort einige Eintragungen, die auch als aktiv gelten. So sind beispielhaft Amazon, Google, Meta, Microsoft etc. dort aufgelistet.
Die neuen Datenschutzpflichten, die auf die US-amerikanischen Dienstleister*innen zukommen, beinhalten z.B. :
Damit soll ein sicheres Datenschutzniveau für personenbezogene Daten sichergestellt werden.
Der neue Angemessenheitsbeschluss eröffnet die Möglichkeit, künftig auf den Abschluss der Standardvertragsklauseln („SCCs“) und das Transfer Impact Assessment („TIA“) verzichten zu können.
Einen Haken hat das Ganze dennoch: die Zertifizierung der Dienstleister*innen nach dem Data Privacy Framework. Ohne diese kann als Rechtsgrundlage der DPF nicht herangezogen werden.
Einige Dienstleister*innen werden in den kommenden Monaten ihre Kundschaft über die rechtlichen Änderungen informieren und die AV-Verträge aktualisieren, bzw. neu abschließen. Sie können sich bei Ihren Dienstleister*innendarüber informieren, ob Schritte dazu geplant sind.
Erst dann im nächsten Schritt müssen z. B. die Datenschutzerklärung und weitere datenschutzrechtliche Dokumente angepasst werden.
Die Vorläufer des Data Privacy Frameworks waren das Privacy Shield sowie das Safe-Harbour-Abkommen. Beide Angemessenheitsbeschlüsse wurden mit dem Schrems I Urteil vom 06.10.2015 sowie Schrems II Urteil vom 16.07.2020 gekippt. Die antreibende Kraft war Max Schrems, nach dem auch die beiden Urteile benannt wurden.
Das ist insofern relevant, da eben dieser angekündigt hat, möglichst bald gegen das Data Privacy Framework vorzugehen (s. Artikel hierzu), da dieses nicht einen ausreichendes Datenschutzniveau bieten kann.
Max Schrems ist nicht der Einzige, der Vorbehalte zum neuen Angemessenheitsbeschluss hatte. Der Europäische Datenschutzausschuss (EDSA) hatte im Vorfeld einige Bedenken geäußert insbesondere im Hinblick auf die tatsächliche, praktische Umsetzung des Datenschutzrahmens sowie möglicher Ausnahmen zur Massenerhebung von Daten in den USA. In den kommenden Wochen wird es zur finalen Fassung des DPFs eine Stellungnahme seitens des EDSAs geben.