EU-US Data Privacy Framework

Verabschiedung des Angemessenheitsbeschlusses zwischen der EU und den USA

Im Dezember 2022 hat die Europäische Kommission ein Verfahren zur Annahme eines Angemessenheitsbeschlusses für einen sicheren Datenverkehr mit den USA eingeleitet.

Die EU-Kommission hat dann am 10. Juli 2023 das Data Privacy Framework veröffentlicht. Damit gibt es drei Jahre,  nachdem das Privacy Shield 2020 vom Europäischen Gerichtshof für ungültig erklärt wurde, eine neue Rechtsgrundlage für die Übertragung personenbezogener Daten aus der EU in die USA.

Damit können also ab sofort personenbezogene Daten aus der EU in die USA fließen, ohne dass Standarddatenschutzklauseln oder TIAs erforderlich sind. Dies gilt jedoch nur, sofern die Organisation, an die die Daten übermittelt werden, auch unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Dies müssen Unternehmen in der EU vorab prüfen.

Mehr Infos vom BfDI

Was ist das EU-US Data Privacy Framework und wozu braucht man das?

Die DSGVO legt fest, dass bei der Verarbeitung personenbezogener Daten immer eine Rechtsgrundlage vorhanden sein muss. Beim internationalen Datentransfer in Nicht-EU-Länder also z.B. bei der Nutzung von Microsoft-Cloud Produkten, braucht ein Unternehmen oder eine Behörde, die den Datentransfer in die USA vornimmt oder erlaubt, zusätzlich eine rechtliche Grundlage für diesen Datentransfer personenbezogener Daten.

Der Angemessenheitsbeschluss ist ein solches Instrument für die Übermittlung personenbezogener Daten aus der EU in Drittländer. Mit einigen Ländern funktioniert das problemlos, wie z.B. mit der Schweiz, mit der seit vielen Jahren ein solches Abkommen existiert. Den Angemessenheitsbeschluss gibt es aber auch z.B. für Argentinien, Färöer-Inseln, Israel, Japan, Kanada, Neuseeland, Südkorea und das Vereinigte Königreich.

Mit den USA gab es bereits früher ein solches Abkommen („Safe-Harbour“ und später „Privacy-Shield“), allerdings hat der europäische Gerichtshof im Juli 2020 festgestellt, dass dieses Abkommen die Rechte der natürlichen Personen nicht so schützt, wie sie sollen und diese Beschlüsse für ungültig befunden.

Nun gibt es seit dem 10. Juli 2023 einen neuen Angemessenheitsbeschluss. Darin wird  - mal wieder - festgestellt, dass die USA ein angemessenes Schutzniveau – verglichen mit dem der Europäischen Union – für personenbezogene Daten gewährleisten. Voraussetzung ist, dass die Unternehmen in den USA an diesem „Datenschutzrahmen“ teilnehmen.

Hierzu gibt es eine einschlägige Website, auf der man sehen kann, welche Unternehmen mit dabei sind. Bis letzte Woche waren dort allerdings noch die Unternehmen gelistet, die beim seit 3 Jahren unwirksamen „Privacy-Shield“ mitgemacht haben. Derzeit ist die Website „Under Construction“.

Laut Aussage der EU, werden mit dem Angemessenheitsbeschluss neue, verbindliche Garantien von USA-Seite eingeführt, um den vom Gerichtshof der Europäischen Union in seinem Privacy-Shield-Urteil vom Juli 2020 aufgezeigten Aspekten Rechnung zu tragen.

Was steht im EU-US Data Privacy Framework? 

Für Europäerinnen und Europäer, deren personenbezogene Daten in die USA übermittelt werden, wird von US-Seite Folgendes erklärt:

  1. verbindliche Garantien, die den Zugang der US-Nachrichtendienste zu den Daten auf das zum Schutz der nationalen Sicherheit erforderliche und verhältnismäßige Maß beschränken,
  2. eine verstärkte Aufsicht über die Tätigkeiten der US-Nachrichtendienste, um sicherzustellen, dass die für Überwachungstätigkeiten geltenden Beschränkungen eingehalten werden, und
  3. die Einrichtung eines unabhängigen und unparteiischen Rechtsbehelfsverfahrens, das auch ein neues Gericht zur Datenschutzüberprüfung umfasst, welches Beschwerden über den Zugang zu Daten durch nationale Sicherheitsbehörden der USA untersucht und beilegt.

Darf ich mich bei der Nutzung von AWS (AMAZON) auf den neuen Angemessenheitsbeschluss mit den USA stützen, wenn Kundendaten UND Personaldaten verarbeitet werden?

Im Rahmen der Zertifizierung können US-Unternehmen entscheiden, ob sie sich für den Empfang von Mitarbeiterdaten (HR) und/oder für den Empfang anderer personenbezogener Daten (Non-HR) zertifizieren lassen. Solange der neue Angemessenheitsbeschluss in Kraft ist, sind Datenübermittlungen an zertifizierte US-Unternehmen aus datenschutzrechtlicher Sicht nicht zu beanstanden, sofern die Zertifizierung die jeweilige Datenkategorie (HR/Non-HR) abdeckt.

Die Übermittlung von Personaldaten ("HR Data"), die im Rahmen eines Beschäftigungsverhältnisses erhoben werden, ist nicht automatisch vom EU-U.S. Data Privacy Framework erfasst; vielmehr muss das US-Unternehmen bei seiner Zertifizierung explizit angeben, dass sich diese auch auf die Übermittlung von Personaldaten beziehen soll. Damit geht insbesondere die Verpflichtung einher, mit den nationalen EU-Datenschutz-Aufsichtsbehörden zusammenzuarbeiten. Datenexporteure müssen daher prüfen, ob ihre geplanten Datenübermittlungen in den Anwendungsbereich des Angemessenheitsbeschlusses fallen. 

Auf Grundlage des EU‐US DPF können nahezu alle Übermittlungen personenbezogener Daten aus der EU sowie dem EWR an US‐Organisationen, die aufgrund ihrer Zertifizierung zum EU‐US DPF in der EU‐US‐DPF‐Liste gelistet sind, erfolgen.

Bei Beschäftigtendaten („Human resources data“ – HR‐Daten), welche im Beschäftigungskontext übermittelt werden, muss geprüft werden, ob die Zertifizierung sich tatsächlich auch auf diese Daten bezieht, da die Zertifizierung diese nicht zwingend erfasst.

Beschäftigtendaten sind nur erfasst, wenn der Eintrag des Datenimporteurs in der EU‐US‐DPF‐Liste in der Rubrik „Covered Data“ den Eintrag „HR Data“ enthält.[1](Mehr Infos dazu beim Datenschutzzentrum)

Wenn sich ein Unternehmen auf den Data Privacy Framework berufen möchte, um aus der EU übermittelte Personaldaten zur Verwendung im Rahmen eines Beschäftigungsverhältnisses zu erfassen, muss sie sich zur Zusammenarbeit mit der betreffenden EU-Behörde verpflichten und deren Rat befolgen. Die Organisation muss zudem eine Kopie ihrer Datenschutzpolitik für Beschäftigtendaten vorlegen und angeben, wo dies für betroffene Mitarbeiter einsehbar ist.

Ergebnis ist also: Wenn man HR-Daten an das US-Unternehmen übermittelt, dann muss dieses US-Unternehmen „HR-Data“- zertifiziert sein („Covered Data: HR“).

Darf Microsoft 365 nun bedenkenlos verwendet werden?

Angemessenheitsbeschlüsse sind nicht auf Unternehmen begrenzt, sondern stellen eine Grundlage dar, auf der die EU ein angemessenes Datenschutzniveau annimmt. Somit fallen Unternehmen, Städte, Gemeinden, Schulen und Stadtwerke in den Anwendungsbereich.  

Derzeit gilt: rein rechtlich können auf Basis des Angemessenheitsbeschlusses personenbezogene Daten in die USA übertragen werden, sofern das Unternehmen hier gelistet ist.

Datenschutzrechtlich bleiben die Bedenken bestehen. Eine Überprüfung des EU-US Data Privacy Frameworks ist binnen maximal 2 Jahren zu erwarten.

Es muss also das konkrete US-Unternehmen gesucht werden, ob es bereits unter das Data Privacy Framework fällt.

--> Microsoft fällt darunter! (Stand: 19.07.2023)

Wie wirkt sich das EU-US Data Privacy Framework auf die Verwendung von Google Analytics aus?

Sofern das konkrete US-Unternehmen unter das Data Privacy Framework fällt, gilt der Angemessenheitsbeschluss der EU.
Stand 26.07.20023 fällt Google fällt darunter!

Die Begründung der Österreichischen Datenschutzbehörde lautete im Dezember 2021 auf vorrangig darauf, dass bei der Übermittlung der Daten in die USA kein angemessenes Datenschutzniveau gewährleistet werden kann. 

Dieses angemessene Schutzniveau wird aber nun durch das EU-US Data Privacy Framework gewährleistet bzw. behauptet, dass es gewährleistet wird.

Achtung: Die Vorgaben der DSGVO und des TTDSG sind in jedem Fall einzuhalten. DSK 2020:

„Im Ergebnis ist ein rechtmäßiger Einsatz von Google Analytics in der Regel nur aufgrund einer wirksamen Einwilligung der Webseitenbesuchenden gem. Art. 6 Abs. 1 lit. a), Art. 7 DSGVO möglich.“

Evtl. ist mit Google-Analytica. V.4.0 die DSGVO insgesamt etwas besser umzusetzen. Mehr Infos dazu

Was ist ein Angemessenheitsbeschluss?

Der Angemessenheitsbeschluss gehört zu den in der Datenschutz-Grundverordnung (DSGVO) vorgesehenen Instrumenten für die Übermittlung personenbezogener Daten aus der EU in Drittländer, die – der Bewertung der Kommission zufolge – für personenbezogene Daten ein vergleichbares Schutzniveau garantieren wie die Europäische Union.

Basierend auf solchen Angemessenheitsbeschlüssen können personenbezogene Daten ungehindert und sicher aus dem Europäischen Wirtschaftsraum (EWR), d. h. aus den 27 EU-Mitgliedstaaten sowie Norwegen, Island und Liechtenstein, in das betreffende Drittland fließen, ohne dass weitere Bedingungen oder Genehmigungen erforderlich wären. Damit können Daten in das Drittland also in gleicher Weise übermittelt werden wie innerhalb der EU.

Der Angemessenheitsbeschluss zum Datenschutzrahmen EU-USA gilt für Datenübermittlungen von öffentlichen und privaten Einrichtungen im EWR an US-Unternehmen, die am Datenschutzrahmen EU-USA teilnehmen.

Nach welchen Kriterien wird die Angemessenheit beurteilt?

Um als angemessen gelten zu können, braucht das Datenschutzsystem des Drittlands nicht mit dem der EU identisch zu sein. Erforderlich ist ein „der Sache nach gleichwertiges“ Schutzniveau. Hierzu wird der Datenschutzrahmen eines Landes sowohl im Hinblick auf den Schutz personenbezogener Daten als auch auf die verfügbaren Aufsichtsmechanismen und Rechtsbehelfsverfahren umfassend bewertet.

Die europäischen Datenschutzbehörden haben eine Liste der Elemente erstellt, die bei dieser Bewertung zu berücksichtigen sind. So müssen beispielsweise zentrale Datenschutzgrundsätze, individuelle Rechte, eine unabhängige Aufsicht und wirksame Rechtsbehelfe garantiert sein.

Was ist der Datenschutzrahmen EU-USA?

In ihrem Angemessenheitsbeschluss hat die Kommission eingehend die Anforderungen geprüft, die sich aus dem Datenschutzrahmen EU-USA ergeben. Geprüft wurden ferner die Beschränkungen und Garantien in Bezug auf den Zugang von US-Behörden zu in die USA übermittelten personenbezogenen Daten, insbesondere für Datenzugriffe zum Zwecke der Strafverfolgung und der nationalen Sicherheit.

Auf dieser Grundlage wird in dem Angemessenheitsbeschluss der Schluss gezogen, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an die am Datenschutzrahmen EU-USA teilnehmenden Unternehmen übermittelt werden. Infolge der Annahme des Angemessenheitsbeschlusses können europäische Unternehmen personenbezogene Daten an teilnehmende Unternehmen in den Vereinigten Staaten übermitteln, ohne zusätzliche Datenschutzgarantien einführen zu müssen.

Der Rahmen sieht für die von den Datenübermittlungen an teilnehmende Unternehmen in den USA betroffenen EU-Bürgerinnen und ‑Bürger mehrere neue Rechte vor (z. B. das Recht auf Zugang zu ihren Daten bzw. auf Berichtigung oder Löschung unrichtiger oder unrechtmäßig verarbeiteter Daten). Ihnen stehen darüber hinaus verschiedene Rechtsbehelfe offen, falls ihre Daten nicht ordnungsgemäß behandelt werden. Dazu gehören unentgeltliche unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle.

US-Unternehmen können ihre Teilnahme am Datenschutzrahmen EU-USA im Rahmen einer Zertifizierung bescheinigen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten. Dies kann beispielsweise Datenschutzgrundsätze wie Zweckbindung, Datenminimierung und Speicherbegrenzung sowie spezifische Verpflichtungen in Bezug auf die Datensicherheit und die Weitergabe von Daten an Dritte umfassen.

Der Rahmen wird vom US-Handelsministerium verwaltet, das Zertifizierungsanträge bearbeitet und überwacht, ob die teilnehmenden Unternehmen weiterhin die Zertifizierungsanforderungen erfüllen. Die US-amerikanische Federal Trade Commission wird die Einhaltung der Verpflichtungen aus dem Datenschutzrahmen EU-USA durch US-amerikanische Unternehmen durchsetzen.

Welche Beschränkungen und Garantien bestehen in Bezug auf den Zugang der US-Nachrichtendienste zu den Daten?

Ein wesentliches Element des US-Rechtsrahmens, auf den sich der Angemessenheitsbeschluss stützt, ist das von Präsident Biden am 7. Oktober unterzeichnete einschlägige Dekret („Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“), das durch Verordnungen des US-Generalstaatsanwalts ergänzt wurde. Diese Instrumente wurden angenommen, um den vom Gerichtshof in seinem Schrems-II-Urteil aufgezeigten Aspekten Rechnung zu tragen.

Für Europäerinnen und Europäer, deren personenbezogene Daten in die USA übermittelt werden, sieht das Dekret Folgendes vor:

  •  verbindliche Garantien, die den Zugang der US-Nachrichtendienste zu den Daten auf das zum Schutz der nationalen Sicherheit erforderliche und verhältnismäßige Maß beschränken,
  •  eine verstärkte Aufsicht über die Tätigkeiten der US-Nachrichtendienste, um sicherzustellen, dass die für Überwachungstätigkeiten geltenden Beschränkungen eingehalten werden, und
  •  die Einrichtung eines unabhängigen und unparteiischen Rechtsbehelfsverfahrens, das auch ein neues Gericht zur Datenschutzüberprüfung umfasst, welches Beschwerden über den Zugang zu Daten durch nationale Sicherheitsbehörden der USA untersucht und beilegt.

Wie sieht das neue Rechtsbehelfsverfahren im Bereich der nationalen Sicherheit aus, und wie können Einzelpersonen es in Anspruch nehmen?

Die US-Regierung hat ein neues zweistufiges Rechtsbehelfsverfahren mit unabhängigen und verbindlichen Befugnissen eingerichtet, mit dem Beschwerden von Einzelpersonen, deren Daten aus dem EWR an Unternehmen in den USA übermittelt wurden, über die Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste bearbeitet und beigelegt werden sollen.

Für die Zulässigkeit einer Beschwerde müssen Einzelpersonen nicht nachweisen, dass ihre Daten tatsächlich von US-Nachrichtendiensten erhoben wurden. Sie können eine Beschwerde bei ihrer nationalen Datenschutzbehörde einreichen, die dafür sorgt, dass die Beschwerde ordnungsgemäß übermittelt wird und die Person alle weiteren Informationen über das Verfahren – auch über das Ergebnis – erhält. Das bedeutet, dass sich Einzelpersonen in ihrer eigenen Sprache an eine wohnortnahe Behörde wenden können. Die Beschwerden werden vom Europäischen Datenschutzausschuss an die USA weitergeleitet.

Zunächst werden die Beschwerden vom sogenannten Civil Liberties Protection Officer, dem Bürgerrechtsbeauftragten der US-Nachrichtendienste, geprüft. Dieser ist dafür verantwortlich, dass die US-Nachrichtendienste die Privatsphäre und die Grundrechte achten.

Daraufhin haben die Einzelpersonen die Möglichkeit, die Entscheidung des Bürgerrechtsbeauftragten vor dem neu eingerichteten Gericht zur Datenschutzüberprüfung anzufechten. Das Gericht setzt sich aus Personen zusammen, die nicht der US-Regierung angehören, aufgrund bestimmter Qualifikationen ernannt werden, nur in begründeten Fällen entlassen werden können (z. B. infolge einer strafrechtlichen Verurteilung oder wenn sie als geistig oder körperlich nicht für die Erfüllung ihrer Aufgaben geeignet befunden werden) und keine Weisungen von der Regierung entgegennehmen. Das Gericht ist befugt, Beschwerden von Einzelpersonen aus der EU zu untersuchen, wofür es auch einschlägige Informationen bei Nachrichtendiensten einholen kann, und verbindliche Beschlüsse über Abhilfemaßnahmen zu fassen. Stellt das Gericht beispielsweise fest, dass bei der Datenerhebung gegen die im Dekret vorgesehenen Garantien verstoßen wurde, kann es die Löschung der Daten anordnen.

Für jeden Fall wählt das Gericht einen speziellen Anwalt mit einschlägiger Erfahrung aus, der es unterstützt, indem er dafür sorgt, dass die Interessen des Beschwerdeführers vertreten werden und das Gericht über die tatsächlichen und rechtlichen Umstände des Falles gut informiert ist. Dadurch wird sichergestellt, dass beide Seiten vertreten sind, und es werden wichtige Garantien in Bezug auf ein faires und ordnungsgemäßes Verfahren eingeführt.

Sobald der Datenschutzbeauftragte oder das Gericht für die Datenschutzüberprüfung die Untersuchung abgeschlossen hat, wird dem Beschwerdeführer mitgeteilt, dass entweder kein Verstoß gegen US-amerikanisches Recht festgestellt wurde oder dass ein Verstoß festgestellt und abgestellt wurde.  Zu einem späteren Zeitpunkt wird der Beschwerdeführer gegebenenfalls auch in Kenntnis gesetzt, wenn Informationen über das Verfahren vor dem Gericht für die Datenschutzüberprüfung – wie der begründete Beschluss des Gerichts – nicht mehr den Vertraulichkeitsanforderungen unterliegen und eingeholt werden können.

Ab wann gilt der Beschluss?

Der Angemessenheitsbeschluss trat mit seiner Annahme am 10. Juli in Kraft.

Der Beschluss ist nicht befristet, aber die Kommission wird die relevanten Entwicklungen in den USA fortlaufend beobachten und den Angemessenheitsbeschluss regelmäßig überprüfen.

Die erste Überprüfung erfolgt binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses; dabei soll ermittelt werden, ob alle relevanten Elemente des US-Rechtsrahmens in der Praxis wirksam funktionieren. Anschließend wird die Kommission in Abhängigkeit vom Ergebnis dieser ersten Überprüfung in Absprache mit den EU-Mitgliedstaaten und den Datenschutzbehörden entscheiden, in welchem Rhythmus die künftigen Überprüfungen, die mindestens alle vier Jahre stattfinden werden, vorgenommen werden sollen.

Sollten Entwicklungen eintreten, die das Schutzniveau im betreffenden Drittland beeinträchtigen, können Angemessenheitsbeschlüsse angepasst oder auch ganz zurückgenommen werden.

Wie wirkt sich der Beschluss auf die Möglichkeit aus, andere Instrumente für die Datenübermittlung in die USA zu nutzen?

Alle von der US-Regierung im Bereich der nationalen Sicherheit eingeführten Garantien (einschließlich des Rechtsbehelfsverfahrens) gelten unabhängig von den verwendeten Übermittlungsmechanismen für alle Datenübermittlungen im Rahmen der DSGVO an Unternehmen in den USA. Diese Garantien erleichtern daher auch den Einsatz anderer Instrumente wie Standardvertragsklauseln und verbindlicher unternehmensinterner Vorschriften.

Max Schrems kündigt Klage gegen Data Privacy Framework an

NOYB behauptet, das angeblich "neue" transatlantische Datenschutzabkommen sei weitgehend eine Kopie des gescheiterten "Privacy Shield"-Abkommens. Am US-Recht ändere sich wenig , insbesondere werde das Grundproblem nicht beseitigt, wonach nach wie vor nur US-Personen verfassungsmäßige Rechte haben und nicht anlasslos überwacht werden dürfen. Die EU-Bürgers fallen nicht unter diesen verfassungsmäßigen Schutz.

Max Schrems hat bereits am Tag der Veröffentlichung angekündigt, dass er auch gegen den neuen Angemessenheitsbeschluss klagen wird. Wörtlich schreibt er auf seiner Website:

„Der dritte Versuch der Europäischen Kommission, ein stabiles Abkommen zu den Datentransfers zwischen der EU und den USA zu erreichen, wird in wenigen Monaten wieder vor dem Europäischen Gerichtshof (EuGH) landen. Das angeblich "neue" transatlantische Datenschutzabkommen ist weitgehend eine Kopie des gescheiterten "Privacy Shield"-Abkommens. Anders als von der Europäischen Kommission behauptet, ändert sich am US-Recht wenig: das grundsätzliche Problem mit FISA 702 wurde von den USA nicht angegangen, wodurch nachwievor nur US-Personen verfassungsmäßige Rechte haben und nicht anlasslos überwacht werden dürfen.“ (Quelle: Noyb)

Braucht man weiterhin TIA, wenn ein neuer Angemessenheitsbeschluss mit den USA vorliegt?

Ein TIA ist grundsätzlich immer durchzuführen, wenn SCCs abgeschlossen werden. Eine Ausnahme davon besteht nur dann, wenn eine europäischer Auftragsverarbeiter Daten von einem Drittlands-Verantwortlichen erhält und diese „Drittlands-Daten“ ohne sie mit europäischen Daten zu vermischen an den Verantwortlichen zurücksendet (siehe Antwort auf Frage 44 der „Questions and Answers for the two sets of Standard Contractual Clauses“).

Nachdem der Angemessenheitsbeschluss verabschiedet wurde, wird es zukünftig auch nicht mehr nötig sein, ein TIA für amerikanische Anwendungen durchzuführen.

Achtung - Beispiel: Atlassian – Hauptsitz in Australien

Da mit Australien kein Angemessenheitsbeschluss vorliegt, ist es weiterhin nötig, ein TIA durchzuführen.

Was bedeutet die Verabschiedung des Angemessenheitsbeschlusses für Behörden?

Der Nachfolger des „Privacy Shields“ kann auch für Behörden als Grundlage für Datenübermittlungen in den USA dienen. Mit dem Angemessenheitsbeschluss wird festgelegt, dass die USA ein angemessenes Schutzniveau für den Datenverkehr sicherstellen, sodass eine sichere Übermittlung von personenbezogenen Daten von der EU in die Vereinigten Staaten gewährleistet werden kann.

Laut EU-Kommission erhalten EU-Bürger:innen mit dem neuen Angemessenheitsbeschluss mehr Rechte, wie bspw. das Recht auf Löschung. Außerdem wird der Zugriff auf die Daten durch US-Behörden beschränkt und EU-Bürger:innen wird ein Rechtsbehelfsverfahren zur Verfügung gestellt.

Ob dem tatsächlich so ist und ob diese Rechte nach EU-Recht ausreichend sind, wird wahrscheinlich der EuGH prüfen müssen, wenn er das Data Privacy Framework im Rahmen eines Gerichtsverfahrens auf Verfassungskonformität prüft.

To-Dos für Datenschutzbeauftragte nach dem  neuen EU-US Data-Privacy-Framework 

  1. Umsetzung des DPF für neue Übermittlungen an selbstzertifizierte U.S.-Unternehmen

a)Prüfung auf Website des DPF, ob Unternehmen zertifiziert ist

b)Überarbeitung des Verzeichnisses für Verarbeitungstätigkeiten, dass der Drittlandstransfer auf dem  Angemessenheitsbeschluss beruht

c)Überarbeitung der Informationen und Datenschutzerklärungen nach Art. 13 und 14 DSGVO, dass der Drittlandstransfer auf dem, Angemessenheitsbeschluss beruht

d)Ergänzende Vereinbarung von Standarddatenschutzklauseln als Sicherheitsnetz („Man kann diese unter die Bedingung stellen, dass der EuGH Data Privacy Frameworks ungültig erklärt. Nötig ist dies allerdings nicht, solange in der internen Dokumentation und in Datenschutzerklärungen ausreichend klar ist, dass sich der Verantwortliche auf den Transfermechanismus Data Privacy Framework stützt.“, so Glocker: Der neue Angemessenheitsbeschluss zum EU–U.S. Data Privacy Framework, Rdi 2023, 465.)

  1. Umsetzung für bestehende Übermittlungen an selbstzertifizierte U.S.- Unternehmen

Kein Handlungsbedarf besteht bei laufenden Datenübertragungen an nach DPF selbstzertifizierte U.S.-Unternehmen, mit denen bereits bisher Standarddatenschutzklauseln vereinbart worden sind. Eine Kündigung ist mit Blick auf die anstehenden Gerichtsverfahren („Schrems III“) nicht nötig und auch nicht empfehlenswert.

Verantwortliche können aber in ihrem Verzeichnis der Verarbeitungstätigkeiten das DPF als primären Transfermechanismus für die selbstzertifizierten US-Unternehmen dokumentieren.

  1. Umsetzung für Übermittlungen an nicht-selbstzertifizierte U.S.-Unternehmen

Weiterhin Abschluss von Standarddatenschutzklauseln, allerdings ohne TIA!

Grund für den Wegfall des TIA: „Statt ein eigenes „transfer impact assessment“ durchzuführen, können die Parteien(… ) jetzt auf die bereits vorliegende Prüfung des U. S.-Recht durch EU-Kommission im

Angemessenheitsbeschluss verweisen, vgl. Glocker: Der neue Angemessenheitsbeschluss zum EU–U.S. Data Privacy Framework (RDi 2023, 465).

Mehr Infos von Datenschutzkonferenz-Online

Stand: Oktober.2023

Sie brauchen Unterstützung?

Wir stehen Ihnen gerne für weitere Fragen und zur Beratung zur Verfügung - kontaktieren Sie uns!
Kontakt
envelopephonemap-markerlocation