Was ist das EU-U.S. Data Privacy Framework?
Der Umgang mit privaten Informationen eines Einzelnen, den sogenannten personenbezogenen Daten, wird in Deutschland durch die DSGVO geschützt – der Schutz gilt als Grundrecht. Die Handhabung des Datenschutzes in den Vereinigten Staaten hingegen ist nicht über ein umfassendes Datenschutzgesetz geregelt. Die bestehenden branchenspezifischen Vorgaben beruhen zum großen Teil auf einer Selbstverpflichtung seitens der Unternehmen.
Versuche einer Einigung zur Regelung des Datenverkehrs waren Safe Harbour und das Privacy Shield, beide wurden vom Europäuschen Gerichtshof für ungültig erklärt (2015 und 2020). Seitdem durften von Unternehmen keine personenbezogenen Daten mehr in die USA übermittelt werden, da es keine Vorgaben zum Umgang mit selbigen mehr gab.
Im Juli 2023 hat die Europäische Kommission nun dem Data Privacy Framework durch einen Angemessenheitsbeschluss ein ausreichendes Schutzniveau bestätigt und ermöglicht den erneuten Datenfluss personenbezogener Informationen in die USA. Um den Datenschutz zu gewährleisten, soll nicht nur der Zugriff von US-Geheimdiensten auf EU-Daten auf ein Minimum beschränkt werden, ein spezialisiertes Gericht wird zusätzlich Hilfe bei der Überwachung bieten. Hier soll die Einhaltung der Datenschutzrichtlinien geprüft werden und bei Verstößen eine Löschung der Daten angeordnet werden.
Seit wann gilt das Data Privacy Framework?
Am 10. Juli 2023 wurde der Angemessenheitsbeschluss von der Europäischen Kommission angenommen. Somit gilt selbiger nun als Grundlage für die Datenübermittlungen an zertifizierte Unternehmen in den Vereinigten Staaten.
Woher weiß ich, welche Unternehmen der USA sich haben zertifizieren lassen?
Bereits Anfang Juli ist eine offizielle Webseite des US-Handelsministeriums für das Data Privacy Shield online gegangen. Neben allen relevanten Informationen findet sich hier eine Liste mit den US-Unternehmen, die sich nach den neuen Vorgaben haben zertifizieren lassen. An diese Betriebe sollen personenbezogene Daten somit ohne weitere Voraussetzungen übermittelt werden können.
Was muss ich jetzt machen?
Bevor Daten in die Vereinigten Staaten übermittelt werden, muss anhand der offiziellen Liste zertifizierter Betriebe geprüft werden, ob das Unternehmen bereits registriert ist. Dann gilt es, die Datenschutzerklärung entsprechend anzupassen. Wer zu diesem Zweck einen Datenschutz-Generator nutzt, sollte prüfen, ob die Aktualisierungen hier bereits automatisch vorgenommen wurden.
Das Gleiche gilt für den Cookie-Banner, auch hier müssen die Textbausteine, die auf einen Datentransfer in die USA hinweisen, ggf. angepasst werden. Außerdem muss im Verarbeitungsverzeichnis die zugrundeliegende Rechtsgrundlage angepasst werden.
Achtung: Externe Dienste und Analyse-Tools, zum Beispiel von Google, können bei einer gültigen Zertifizierung zwar genutzt werden, unabhängig davon muss aber weiterhin im Consent Tool auf deren Einsatz hingewiesen werden! Wir empfehlen dringend das Hinzuziehen von Experten, Sie können sich jederzeit gern an das Team der PRO-DSGVO wenden.
Sind die Unternehmen, an die Daten übermittelt werden, noch nicht zertifiziert, bleibt es beim Abschluss von Standardvertragsklauseln und der Durchführung eines Transfer Impact Assessments.
Wie hoch ist die Wahrscheinlichkeit, dass das Data Privacy Framework dauerhaft gültig ist?
Auch wenn zunächst anscheinend die Erleichterung groß ist, dass nach drei Jahren ohne Vorgaben oder Regelungen nun wieder ein Angemessenheitsbeschluss in dieser Angelegenheit vorliegt, gehen die Meinungen unter Datenschützern hinsichtlich der dauerhaften Haltbarkeit auseinander. Der Datenschützer und Anwalt Max Schrems, maßgeblich am Scheitern von Safe Harbour und Privacy Shield beteiligt, zeigt sich laut spiegel.de skeptisch: „Man sagt, die Definition von Wahnsinn ist, dass man immer wieder das Gleiche tut und dennoch ein anderes Ergebnis erwartet. (…) Wir hatten jetzt ›Harbors‹, ›Umbrellas‹, ›Shields‹ und ›Frameworks‹ – aber keine substanzielle Änderung des US-Überwachungsrechts.“ Die aktuellen Presseerklärungen seien fast eine wortwörtliche Kopie derer von vor 23 Jahren. „Die bloße Behauptung, etwas sei ›neu‹, ›robust‹ oder ›wirksam‹, reicht vor dem Gerichtshof nicht aus«, so Schrems. „Wir brauchten eine Änderung des US-Überwachungsrechts und die gibt es nicht.“ Die von Schrems 2017 gegründete NGO (Non-governmental organization) noyb kündigte bereits an, das Gesetz vor den EUGH zu bringen.
Positiv sieht hingegen der Bitkom Präsident Dr. Ralf Wintergerst die Veröffentlichung: „Mit der heutigen Veröffentlichung des Data Privacy Frameworks geht eine dreijährige Hängepartie zu Ende. Unternehmen erhalten damit grundsätzlich wieder Rechtssicherheit, wenn sie personenbezogene Daten zwischen der EU und den USA transferieren müssen. Vor allem kleine und mittelständische Unternehmen profitieren davon, dass künftig keine Einzelfallprüfungen mehr notwendig sind. Die mühsamen transatlantischen Verhandlungen haben sich gelohnt und waren auch deshalb erfolgreich, weil die aktuelle US-Regierung mit einer Executive Order im vergangenen Jahr auf die europäischen Bedenken reagiert hat und auf die EU zugegangen ist.
Sicher ist aber auch, dass die nun gefundene Neuregelung erneut von den Gerichten überprüft werden wird. Dort wird sich zeigen, ob der EU-Gesetzgeber mit dem Data Privacy Framework eine rechtlich belastbare Regelung gefunden hat. Datentransfers sind ein zentraler Bestandteil der globalen Wirtschaft quer durch alle Branchen und auch der Wissenschaft. Die Be- oder sogar Verhinderung von Datentransfers kann häufig nicht einfach durch alternative Lösungen kompensiert werden und stellt die deutschen und europäischen Unternehmen vor ebenso gravierende Herausforderungen wie die Unterbrechung von Lieferketten.“
Sie wollen wissen, ob Ihre Webseite datenschutzkonform ist? Nutzen Sie den kostenlosen Klickberater der PRO-DSGVO und erfahren Sie in wenigen Minuten, wo Schwachstellen zu finden sind.
Quellen: