Skip links
Jetzt Anfragen
Kanzlei Siebert Lexow

Data Privacy Framework

Avatar-Foto
Author
Published on:
Published in: Magazin

Worum geht’s?

Was lange währt, wird endlich gut? Nach langem Warten haben sich die Europäische Union und die Vereinigten Staaten zu einem neuen Abkommen geeinigt. Dadurch wird wieder ein sicherer Datentransfer aus der EU in die USA gewährleistet. Während die Nutzung von US-Tools bis vor zwei Wochen noch rechtswidrig war, gilt ab jetzt: Die Nutzung von US-Tools ist wieder möglich – aber mit Vorsicht! Was Sie zu dem neuen Data Privacy Framework wissen müssen, erfahren Sie in diesem Beitrag.

Das Problem: Unsicherer Datentransfer in die USA

Die Unsicherheiten nahmen im Juni 2020 ihren Lauf. Der Europäische Gerichtshof (EuGH) entschied in seiner Schrems-II-Entscheidung, dass das zu diesem Zeitpunkt vorhandene Privacy Shield – also ein bereits zuvor zwischen der EU und den USA abgeschlossener Datenschutzrahmen – gegen die Europäische Datenschutzgrundverordnung (EU-DSGVO) verstößt. Die USA gelten seitdem nicht mehr als sicherer Drittstaat im Sinne der EU-DSGVO. Der Grund: Die USA erfüllen nicht die in der EU-DSGVO geforderten Datenschutzstandards. Das liegt unter anderem daran, dass im Rahmen des USA Freedom Acts die US-Behörden (wie FBI, NSA und CIA) die Erlaubnis erhalten, auch ohne richterlichen Beschluss auf die Server von US-Unternehmen zuzugreifen. Das eröffnet den US-Behörden quasi einen ungehinderten Zugriff auf personenbezogene Daten aus der EU, die beispielsweise im Rahmen der Nutzung von US-Tools wie Mailchimp, Google Analytics oder Amazon Web Services (AWS), auf den US-Unternehmensservern gespeichert werden.

Setzen Sie als Webseiten-Betreiber zum Beispiel Google Analytics, überträgt Google die von Ihren Nutzern gesammelten personenbezogenen Daten auf die Server des US-Unternehmens. Weil Google seinen Serverstandort in den USA hat, können US-Behörden also fast ungehindert auf die personenbezogenen Daten Ihrer Nutzer zugreifen. Das führt wiederum dazu, dass Sie als EU-Unternehmen keinen ausreichenden Schutz der personenbezogenen Daten Ihrer Nutzer gewährleisten und somit gegen die EU-DSGVO verstoßen. Die Folge: Abmahnungen und Bußgelder – teilweise in Millionenhöhe..

Die Lösung: Data Privacy Framework (DPF)

Was ist der neue Datenschutzrahmen?

Mit dem Angemessenheitsbeschluss zum neuen Data Privacy Framework (DPF), das die EU-Kommission und der US-Präsident Joe Biden vereinbart haben, gehören Abmahnungen und Bußgelder für den Datentransfer von personenbezogene Daten aus der EU in die USA erst einmal der Vergangenheit an, sofern bestimmte Voraussetzungen erfüllt werden. Der Angemessenheitsbeschluss stuft die USA also wieder als sicheres Drittstaat im Sinne der EU-DSGVO ein, sodass Sie Daten aus der EU wieder ungehindert in die USA transferieren dürfen, ohne dabei Abmahnungen und Strafen nach der EU-DSGVO zu riskieren.

Für wen gilt das Data Privacy Framework?

Nach dem neuen Data Privacy Framework richtet sich das notwendige Schutzniveau primär an US-Unternehmen. Danach bieten nur solche US-Unternehmen ein der EU-DSGVO entsprechendes Schutzniveau, wenn das US-Unternehmen bestimmte Voraussetzungen erfüllt, wie die Selbstzertifizierung, die im Rahmen des neuen Data Privacy Frameworks geschaffen wurde. Für Sie als EU-Unternehmen folgt daraus, dass Sie überprüfen müssen, ob das entsprechende US-Unternehmen an dem neuen Datenschutzrahmen teilnimmt, bevor Sie US-Tools nutzen und im Rahmen der Nutzung Daten aus der EU an das US-Unternehmen übermitteln.

Was müssen US-Unternehmen tun, um am neuen Datentransfer sicher teilzunehmen?

Notwendig für eine sichere Datenübertragung aus der EU in die USA ist, dass sich das US-Unternehmen im Rahmen eines Selbstzertifizierungsverfahrens des US-Handelsministeriums (DoC – Department of Commerce) selbst zertifiziert hat. Während dieses Zertifizierungsverfahrens muss das US-Unternehmen bestimmte Unterlagen dem US-Handelsministerium vorlegen. Sind alle Unterlagen vollständig, nimmt das US-Handelsministerium das US-Unternehmen in die Liste „Data Privacy Framework“ auf und gilt damit als zertifiziert.

Sofern ein US-Unternehmen zertifiziert ist, muss es sich jährlich erneut einer Rezertifizierung unterziehen. Das Verfahren bleibt hierbei aber das Gleiche, wie bei der Erstzertifizierung.

Darüber hinaus muss das zertifizierte US-Unternehmen anschließend einen datenschutzrechtlichen Hinweis über die Verarbeitung personenbezogener Daten bereitstellen, aus dem die Teilnahme am EU-US DPF sowie weitere Angaben (z. B. Arten der erhobenen Daten, Zwecke der Verarbeitung und der Weitergabe personenbezogener Daten an Dritte, Rechte der betroffenen Person usw.) ersichtlich sind.

Über den genauen Ablauf des Zertifizierungsverfahrens hat die amerikanische Regierung einen offiziellen Guide zur Verfügung gestellt, der Sie Schritt für Schritt durch die Zertifizierung leitet. Die offizielle Anleitung erhalten Sie unter folgendem Link: www.privacyshield.gov/servlet/servlet.FileDownload?file=015t000000079DJ

Wie übermitteln Sie als Unternehmen oder Webseitenbetreiber aus der EU Ihre Daten sicher in die USA?

Bevor Sie US-Tools wie Mailchimp, Google Analytics & Co. nutzen, sollten Sie zunächst folgende Punkte überprüfen:

  1. Nimmt das betroffene US-Unternehmen (z.B. Google im Falle von Google Analytics) an dem Data Privacy Framework teil und damit zertifiziert?
  2. Sind auch die betroffenen Daten, die Sie übermitteln wollen, von der Zertifizierung erfasst?

 

Das können Sie problemlos im Rahmen einer Selbstrecherche prüfen. Dazu müssen folgende Schritte durchführen:

  1. Gehen Sie auf die Website zum Data Privacy Framework Program unter www.dataprivacyframework.gov/s/participant-search und klicken Sie auf den Reiter „Data Privacy Framework List“.
  2. Alternativ können Sie auch direkt auf die „Data Privacy Framework List“ unter folgenden Link zugreifen: www.dataprivacyframework.gov/s/participant-search
  3. Geben Sie anschließend in die Suchleiste den Namen des US-Unternehmens. Sofern das US-Unternehmen zertifiziert ist und an dem Data Privacy Framework teilnimmt, wird Ihnen dieses angezeigt.
  4. Wird Ihnen das betroffene US-Unternehmen angezeigt, müssen Sie als nächstes unter „Covered Data“ prüfen, ob die notwendigen Daten auch von dem Zertifikat erfasst sind. Dabei wird zwischen „HR“ und „Non-HR“ unterschieden (weitere Hinweise dazu siehe unten). Für Ihre Prüfung ist nur „Non-HR“ von Relevanz!
  5. Wenn Sie auf „Questions & Complaints“ klicken, erhalten Sie weitere Informationen zum US-Unternehmen und den entsprechenden Datenschutzbestimmungen. Dort finden Sie auch weitere Informationen zum US-Unternehmen beispielsweise, wenn das US-Unternehmen weitere Tools entwickelt hat, die ebenfalls durch das Unternehmen vom Zertifikat erfasst sind.
Hinweis: Im Rahmen der „Covered Data“ – also der Daten, die durch das Zertifikat abgedeckt sind – wird zwischen „HR“ und „Non-HR“ unterschieden. „HR“ beinhaltet dabei Daten, die sich nur auf die Mitarbeiter des Unternehmens beziehen, also die Frage, ob das Unternehmen auch die Mitarbeiterdaten schützt. Unter „Non-HR“ sind alle anderen personenbezogenen Daten gemeint, also auch solche, die Sie durch einen Datentransfer aus der EU in die USA übermitteln. Für Sie als EU-Unternehmen ist lediglich wichtig, ob „Non-HR“-Daten von dem Zertifikat abgedeckt sind. Denn dann können Sie davon ausgehen, dass auch andere personenbezogene Daten mitumfasst sind.

Gelten weiterhin die Standardvertragsklauseln und das Transfer Impact Assessment (TIA)?
Vor dem Data Privacy Framework waren Sie als EU-Unternehmen dazu verpflichtet, mit US-Unternehmen sogenannte Standardvertragsklauseln (SCC) abzuschließen und im Rahmen eines Transfer Impact Assessments (TIA) selbst die Bewertung des Datenschutzniveaus des betroffenen US-Unternehmens durchführen. Dieses kostete Zeit und sorgte im Gesamten dennoch nicht für eine einhundertprozentige Sicherheit.

Mit dem Data Privacy Framework gehören Standardvertragsklauseln und TIAs nun der Vergangenheit an – zumindest hinsichtlich solcher US-Unternehmen, die sich im Rahmen des Data Privacy Framework zertifizieren lassen. Dann können Sie als EU-Unternehmen auf Standardvertragsklauseln und TIA verzichten. Ausnahme: Das betroffene US-Unternehmen hat ihren Sitz in den USA und ist nicht zertifiziert. Dann müssen Sie weiterhin Standardvertragsklauseln hinsichtlich des US-Unternehmen verwenden und ein Transfer Impact Assessment durchführen.

Hat das Data Privacy Framework auch eine sichere Zukunft?
Auch, wenn das Data Privacy Framework wieder neue Sicherheit bietet, stellt sich nur die Frage für wie lange. Denn Max Schrems, der zuvor bereits durch Schrems-I und II die Unwirksamkeit des Datentransfers von der EU in die USA durch das EuGH erreicht hatte, steht bereits mit einer neuen Klage in den Startlöchern. Viele Stimmen äußern sich dahingehend, dass auch das neue Data Privacy Framework nicht den Anforderungen der EU-DSGVO genügt und weiterhin kein ausreichendes Datenschutzniveau bietet. Wie genau die Entscheidung aussehen wird, bleibt abzuwarten.

Beratung zum Datentransfer in die USA

Benötigen Sie Beratung zum Datentransfer in die USA oder sonstige datenschutzrechtlich unsichere Drittstaaten?
Sprechen Sie uns an!

Jetzt unverbindlich anfragen

Weitere Artikel zum Thema Internetrecht