Am 10.07.2023 hat die EU-Kommission im Rahmen des „EU-US Data Privacy Framework“ den Angemessenheitsbeschluss für die USA angenommen. Dadurch werden zukünftig unter bestimmten Bedingungen wieder rechtmäßige Übermittlungen personenbezogener Daten in die USA ermöglicht. Diese Entwicklung hat signifikante Auswirkungen auf die datenschutzrechtliche Beurteilung von Dienstleistern und Auftragsverarbeitern mit Sitz in den USA. Durch eine Zertifizierung gemäß dem EU-US Data Privacy Framework können diese Dienstleister nun rechtmäßig eingesetzt werden.
Diese Neuigkeiten haben große Bedeutung in der Datenschutz-Welt. In den vergangenen Jahren mussten wir Kunden immer wieder auf Bedenken hinsichtlich der Nutzung von Dienstleistern aus den USA hinweisen. Nun scheint endlich eine praktikable Lösung gefunden worden zu sein. Es bleibt jedoch abzuwarten, wie sich dies in der Praxis entwickelt. Es ist noch unklar, welche Dienstleister sich überhaupt zertifizieren lassen und ob es Versuche geben wird, den Angemessenheitsbeschluss, auch bekannt als „Schrems III“, zu kippen. Ebenso ist noch keine klare Vorgehensweise für bereits abgeschlossene Standardvertragsklauseln (SCC) definiert.
Wichtige Informationen:
- Dienstleister aus den USA können nun datenschutzrechtlich zulässig eingesetzt werden, sofern sie sich gemäß dem EU-US Data Privacy Framework zertifizieren lassen. Die Zertifizierung der „großen“ Unternehmen wird voraussichtlich einige Wochen in Anspruch nehmen.
- Eine solche Zertifizierung gilt jeweils nur für ein Jahr, daher muss die Liste der zertifizierten Unternehmen regelmäßig überprüft werden. Falls ein Dienstleister keine Zertifizierung erhält oder nach einem Jahr nicht rezertifiziert wird, besteht ein datenschutzrechtliches Risiko bei der Nutzung dieses Dienstleisters.
- Vor dem Einsatz eines Dienstleisters, unabhängig vom Standort, müssen die datenschutzrechtlichen Aspekte geklärt werden. Es müssen weiterhin Auftragsverarbeitungsverträge abgeschlossen werden, die den Anforderungen von Artikel 28 der DSGVO entsprechen. Die Rechtmäßigkeit der Verarbeitung, die ein Dienstleister übernimmt, muss gemäß Artikel 6 der DSGVO vom verantwortlichen Unternehmen, also Ihrem Unternehmen, beurteilt werden und gegeben sein (ggf. Einholung von Einwilligungen).
Mehr Informationen gibt es im FAQ der EU-Kommission:
https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752
Bei Fragen können Sie uns gerne unter 030 330 96 26 – 27 anrufen oder eine Mail an datenschutz@lorop.de schreiben.
Bevor Sie gehen, haben wir noch einige wichtige Neuigkeiten für Sie. Seit der Veröffentlichung dieses Artikels sind neue Informationen aufgetaucht, die Ihnen zusätzliche Einblicke und praktische Tipps bieten können. (Stand: 23.09.2023)
Erstens ist es wichtig zu beachten, dass es eine offizielle Website gibt, auf der Sie überprüfen können, ob ein US-Unternehmen im Rahmen des EU-US Data Privacy Framework (nachfolgend „DPF“) zertifiziert ist. Sie können dies ganz einfach über die folgende Suche überprüfen: https://www.dataprivacyframework.gov/s/participant-search
Für Microsoft sieht dies bspw. wie folgt aus
Zweitens hat die Datenschutzkonferenz, bestehend aus unseren Datenschutzbehörden, am 04.09.2023 Richtlinien zum DPF veröffentlicht: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/DSK/2023/20230904_DSK_Anwendungshinweise_EU-US-DPF.pdf (im Folgenden als „DPF-Liste“ bezeichnet)
Um die Einhaltung der Datenschutzbestimmungen für die Verarbeitung personenbezogener Daten durch US-Unternehmen (Dienstleister, Datenverarbeiter usw.) sicherzustellen, müssen Sie Folgendes beachten:
- Daten Ihrer Mitarbeiter dürfen nur von US-Unternehmen verarbeitet werden, wenn der Eintrag des Datenimporteurs im Abschnitt „Covered Data“ der DPF-Liste den Eintrag „HR-Data“ enthält, wie im obigen Microsoft-Beispiel zu sehen.
- Die Datenschutzverpflichtungen Ihres Unternehmens als Datenverantwortlicher für Verarbeitungstätigkeiten in den USA (Sicherstellung der Datenminimierung, Zweckbindung, Rechtsgrundlage und Rechte der betroffenen Personen usw.) bleiben unverändert. Es ist in der Regel auch erforderlich, eine Datenverarbeitungsvereinbarung (DPA) mit US-Dienstleistern abzuschließen (oft als „Data Processing Agreement / DPA“ von US-Dienstleistern bezeichnet). Alternativ sind wir der Meinung, dass zuvor abgeschlossene Standardvertragsklauseln (SCC) weiterhin gültig sind.
- US-Unternehmen müssen regelmäßig eine Rezertifizierung durchlaufen. Dabei handelt es sich um eine Selbstzertifizierung, die auf Basis umfänglicher Prüfungen, welche sich bspw. durch Beschwerden von betroffenen Personen ergeben können, gekippt werden könnten. Daher ist es wichtig, regelmäßig die DPF-Liste zu überprüfen.
Wir raten Ihnen dringend, regelmäßigen Kontakt mit uns zu halten (z.B. halbjährlich) bezüglich Ihrer Dienstleister und Datenverarbeiter. Dies ist für uns entscheidend, um die erforderliche Unterstützung anzubieten und Ihre DPF-Liste effektiv zu überwachen.
Wir müssen leider einige Bedenken zum Abschluss äußern. Es ist nicht garantiert, dass dieser Angemessenheitsbeschluss vor dem Europäischen Gerichtshof Bestand haben wird. Die Thüringer Datenschutzbehörde hat folgendes festgestellt:
„Unternehmen etwa sollten vor diesem Hintergrund abwägen, ob sie sensible Daten – auch Kundendaten – in die USA transferieren oder bis zur Entscheidung des EuGH vorsorglich nicht. Denn die Wahrscheinlichkeit, dass der Europäische Gerichtshof den Adäquanzbeschluss aufheben wird, ist danach recht hoch.“
Wir halten Sie weiter auf dem Laufenden!