Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss zum EU-US-Datenschutzrahmen (Data Privacy Framework, DPF) erlassen.
Damit stellt die EU-Kommission gemäß Artikel 45 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) fest, dass die USA bzw. die Übermittlung personenbezogener Daten von
natürlichen Personen (im Anwendungsbereich der DSGVO) durch Unternehmen / Organisationen in der EU (Datenexporteure)
- an Unternehmen / Organisationen (als Datenimporteure) in den USA, die im Selbstzertifizierungsmechanismus des DPF registriert sind und
- in einer noch zu veröffentlichenden Liste genannt werden
ein angemessenes Schutzniveau bieten.
Ein großer Vorteil im Unternehmensalltag besteht darin, dass Datenexporte auf Basis eines Angemessenheitsbeschlusses ohne zusätzliche Maßnahmen (iSd Schrems-II-Judikatur des EuGH bzw. der Stellungnahme des EDSA mit rechtlichen, organisatorischen oder technischen Mitteln, insbes. proprietärer Verschlüsselung) zulässig sind und keiner weiteren Rechtsgrundlage nach Kapitel V der DSGVO bedürfen.
Die „Einwilligung mit Risikohinweis iSd Art 49 (1) lit a DSGVO“, die laut EDSA nur für gelegentliche Übermittlungen zulässig sein soll, wohl für derartige Übermittlungen hinfällig.
Bisher hat man sich Standardvertragsklauseln (SCCs) also einen zusätzlichen speziellen Vertrag mit dem Empfänger (Importeur) gestützt. Dies entfällt.
Auch eine TIA (Transfer Impact Assessment) ist nicht mehr nötig. Es müssen keine zusätzlichen Schutzmaßnahmen (organisatorisch, rechtlich, technisch) für die natürlichen Personen, die von der Übermittlung betroffen sind, mehr ergriffen werden.
Grundlage in den USA:
US-Präsident Biden hat eine Executive Order 14086 (veröffentlicht am 14. Oktober 2022) unterzeichnet. Auf Grundlage des Angemessenheitsbeschlusses und dieser Executive Order 14086 sollen die Defizite im rechtlichen Rahmen in den USA, die in Bezug auf Privacy Shield im Schrems-II-Urteil im Juli 2020 festgestellt hat, ausgeräumt werden.
Ab wann gilt der Angemessenheitsbeschluss?
Der Angemessenheitsbeschluss ist mit seinem Erlass am 10. Juli 2023 an sich bereits in Kraft getreten, sodass das DPF „Gültigkeit“ erlangt hat, und als eine Grundlage iSd Art 45 DSGVO gelten kann.
Eine Datenübermittlung auf Grundlage des DPF kann jedoch erst erfolgen, wenn alle Voraussetzungen auf Seiten der datenempfangenden Organisation (Datenimporteur) erfüllt sind.
Der Datenimporteur der Daten in den USA muss insbesondere in die Liste zertifizierter Unternehmen des US-Handelsministeriums aufgenommen werden (diese soll uU bereits am 17.7.2023 veröffentlicht werden).
Übergang vom „Privacy Shield“ zu DPF – zertifizierte Unternehmen
Aus den derzeit zur Verfügung stehenden Informationen können sich alle derzeit nach dem Privacy Shield zertifizierten Unternehmen ab sofort an die Bestimmungen des DPF halten.
Die Organisationen / Unternehmen, die nach dem (ehemaligen) Privacy Shield „zertifiziert“ waren,
sind nach wie vor hier abrufbar: Privacy Shield, wobei zB auch Google LLC oder Meta Platforms Inc (also
Facebook) oder auch Microsoft Corporation darunter sind.
Alle Unternehmen, die unter dem Privacy Shield zertifiziert sind bzw. waren und keinen Antrag auf Widerruf stellen, werden automatisch ab dem 17.7.2023 in der dann veröffentlichten Liste unter folgender URL genannt: https://www.dataprivacyframework.gov/s/ .
Somit wird es für Datenübermittlungen ab 17.7.2023 (sohin ziemlich genau 3 Jahre nach der Schrems-II-Entscheidung des EuGH vom 16.7.2020) an eine große Anzahl von US-Unternehmen wieder eine stabile Rechtsgrundlage nach Kapitel V der DSGVO geben.
Selbstverständlich ist es auch möglich, dass ein zuvor nicht nach dem Privacy Shield zertifiziertes Unternehmen
erstmals einen neuen Antrag auf Zertifizierung unter das DPF stellt. Wie lange die "Neuzertifizierung" dauern wird, wenn ein Unternehmen / eine Organisation diesen Antrag stellt,
kann derzeit mE nicht gesagt werden.
Die veröffentlichte Liste https://www.dataprivacyframework.gov/s/ wird daher für alle Verantwortlichen mit USA-Kontakt ein wesentlicher Bestandteil des Datenschutz-Management-Systems werden.
Rechtliche Wirkung des Angemessenheitsbeschlusses vom 10.7.2023
Der von der EU-Kommission erlassene Angemessenheitsbeschluss richtet sich an die Mitgliedstaaten der EU (Artikel 4 des Beschlusses), ist unmittelbar anwendbar und rechtsverbindlich (siehe auch EuGH-Urteil zum Schrems-II-Urteil, Rz. 117).
Derartige Beschlüsse gelten ebenso wie Verordnungen und Richtlinien als sekundäres Recht der EU (Artikel 288 Absatz 4 AEUV) und unmittelbar und schaffen eine Rechtsgrundlage für die Normunterworfenen der Mitgliedstaaten.
Der Angemessenheitsbeschluss vom 10.7.2023 dient als Erlaubnis für die Übermittlung personenbezogener Daten in die USA gemäß Artikel 45 Absatz 3 der DSGVO. Mit Inkrafttreten des DPF können Unternehmen zunächst vollständig auf seine Wirksamkeit vertrauen. Weder nationale Gerichte noch Datenschutzaufsichtsbehörden sind berechtigt, die Ungültigkeit eines Angemessenheitsbeschlusses von sich aus festzustellen. Diese Zuständigkeit liegt allein beim EuGH (vgl. EuGH-Urteil zum Schrems-II-Urteil, Rz. 118 und Schrems-I-Urteil, Rz. 52).
Aus derzeitiger Sicht wird es daher wieder wesentlich einfacher, personenbezogene Daten an zertifizierte Empfänger in den USA zu senden, wobei NOYB bereits angekündigt hat, sich mit der „Neu-Auflage“ nach Safe-Harbour bzw. Privacy-Shield nicht zufrieden zu geben. Wie lange diese komfortable Situation andauern wird, ist daher schwer abschätzbar.
Wenn ein US-Unternehmen gemäß dem DPF zertifiziert ist und in der entsprechenden Liste genannt wird, können Datenübermittlungen an diese Unternehmen rechtmäßig erfolgen, da in diesem Übermittlungsfall ein angemessener Schutz für die Rechte und Freiheiten der betroffenen Personen iSd DSGVO gegeben ist.
Können sich alle „datenschutzrechtlichen Player“ auf beiden Seiten des Atlantic auf das DPF berufen?
Das DPF kann als Grundlage für eine Datenübermittlung in die USA durch Unternehmen in der EU und im Europäischen Wirtschaftsraum dienen. In der EU können sowohl Verantwortliche als auch Auftragsverarbeiter als Datenexporteure agieren und sich auf die Wirkung des DPF berufen.
Das DPF findet auch auf der Seite der Datenimporteure Anwendung auf US-Unternehmen, die ebenfalls entweder als Verantwortliche oder Auftragsverarbeiter tätig sind.
Massnahmen für Verantwortliche / Auftragsverarbeiter mit Datenübermittlungen in die
USA
(ohne Anspruch auf Vollständigkeit)
Europäische Unternehmen und Organisationen sollten bei Datenübermittlungen auf Grundlage des DPF folgende Punkte beachten:
Abfrage der „Zertifizierungsliste“ und Folgehandlungen:
Zertifizierungs-Check durch den Datenexporteur.
Ist der Datenempfänger iSd DPF zertifiziert?
Dies kann durch Einsicht in die entsprechende Liste beim US-Handelsministerium überprüft werden. Die Liste wird ab dem 17. Juli 2023 unter
folgender URL verfügbar sein: https://www.dataprivacyframework.gov/s/ .
Zertifizierte US-Unternehmen sollen so rasch wie möglich, spätestens jedoch drei Monate nach Inkrafttreten des DPF (daher Mitte September 2023), ihre Datenschutzhinweise anpassen und auf das DPF verweisen.
Die Prüfung der Liste sollte auch dahingehend erfolgen, ob die Datenkategorien, die von der Übermittlung betroffen sind, von der Meldung/Zertifizierung umfasst sind. Es könnte eine Einschränkung (wie auch bisher: zB „NON-HR“) geben.
Prüfung der Rechtsgrundlage für die Verarbeitung inkl.
Datenübermittlung nach Art. 6 Abs. 1 DSGVO und ggf. Art. 9 Abs. 2 DSGVO?
Dies muss – wie bei allen Verarbeitungen – gegeben sein.
Wie erfolgt die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DSGVO und wie ist das nachweisbar?
Periodischer Check der Registrierung der Übermittlungsempfänger.
Es ist zu prüfen, ob der Datenimporteur (US-Unternehmen / Organisation) zwischenzeitlich von der Liste des US-Handelsministeriums aufgrund fehlender Neuregistrierung entfernt wurde bzw. es die Zertifizierung selbst widerrufen hat. Dann erfolgt die Streichung aus der Liste, und eine Übermittlung an diesen Empfänger bedarf – wie bisher (seit 16.7.2023) - des Abschlusses von SCC mit zusätzlichen Maßnahmen sowie einer TIA.
Anpassung der eigenen Datenschutzdokumentation:
Aus der DSGVO ergeben sich Verpflichtungen im Datenschutz-Management, und auch darauf hat das DPF Auswirkungen.
Überarbeitung des Verzeichnisses der Verarbeitungstätigkeiten (iSd Art 30 DSGVO) in Bezug auf die Angaben zur Übermittlung von personenbezogenen Daten an ein Drittland (Art. 30 Abs. 1 lit. e DSGVO)
Überarbeitung der Datenschutz-Informationen und Angabe des DPF als „Übermittlungsart" (Art. 13 Abs. 1 lit. f DSGVO / Art 14 Abs 1 lit f DSGVO).
Überarbeitung des Auskunftsprozesses und Angabe des DPF bei den Auskünften an betroffene Personen.
Überarbeitung des
Datenberichtigungskonzepts und Berücksichtigung des DPF bzw. der Empfänger als mögliche Adressaten bei einer Berichtigung von
Daten.
Überarbeitung des
Löschkonzepts und Berücksichtigung des DPF bzw. der Empfänger als mögliche Adressaten von Weitergabe der Löschung
.
Kommentar schreiben