Nachdem der EuGH vor zwei Jahren das sogenannte „Privacy Shield“ gekippt hat, gibt es nun den Nachfolger, der den Umgang mit europäischen Daten im Rahmen des transatlantischen Datentransfers in datenschutzkonformer Weise garantieren soll.

Erfahren Sie im Folgenden, warum diese Regelung für Sie relevant ist:

Was ist das „EU-US-Data-Privacy-Framework“?

Das DPF soll die Nachfolge des Privacy Shield antreten, das 2020 vom EuGH aufgehoben wurde, und soll als Grundlage für die sichere Übermittlung personenbezogener Daten in die USA dienen.

Warum ist das Data Privacy Framework für mich relevant?

Das DPF wird für Sie relevant, wenn Sie US-Dienste wie Google, Facebook, AWS oder Microsoft nutzen. Denn nach Ansicht des EuGH besteht große Unsicherheit darüber, ob deren Nutzung aufgrund der Überwachungsmaßnahmen der US-Geheimdienste zulässig ist.

Ist das Data Privacy Framework ein Gesetz?

Nein, das DPF ist kein Gesetz. Das DPF ist eine Kombination aus 

a) Zusicherungen des Datenschutzes für EU-Bürger (die oben erwähnte Executive Order des US-Präsidenten) und 

b) der Feststellung der EU-Kommission, dass diese Zusicherungen ein ausreichendes Datenschutzniveau in den USA gewährleisten (so genannter „Angemessenheitsbeschluss“).

Wird dies Rechtssicherheit für US-Diensteanbieter mit dem Data Privacy Framework garantieren?

Auch das DPF wird keine absolute Sicherheit garantieren. Es ist davon auszugehen, dass der Angemessenheitsbeschluss der EU-Kommission wie bei seinen beiden Vorgängern („Privacy Shield“ 2020 und „Safe Harbor“ 2015) vor dem Europäischen Gerichtshof angefochten werden wird. Der damalige Kläger, Max Schrems, hat dies bereits angekündigt.

Was wird an dem Data Privacy Framework beanstandet?

Gerügt wird, dass die Anforderungen des EuGH an ein ausreichendes Datenschutzniveau nicht erfüllt werden. Zum einen wird bezweifelt, dass die Massenüberwachung eingedämmt wird und dass die für EU-Bürger geschaffene Rechtsberatungsstelle nicht wirklich unabhängig im Sinne eines Gerichts ist.

Warum wäre das Data Privacy Framework trotzdem vorteilhaft für mich?

Auch wenn das DPF für keine absolute Rechtssicherheit schafft, sorgt es zumindest für eine Atempause, in der keine Maßnahmen von Behörden oder Abmahnungen, z.B. bei der Nutzung von Google Analytics oder Office 365, zu erwarten sind. D.h. das praktische Risiko sinkt für ca. 5 Jahre enorm. Wenn Ihre Datenschutzbeauftragten Sie z.B. darauf hinweisen, dass ein US-Dienst nicht weitergenutzt werden sollte, können Sie die Aussicht auf das DPF als Argument anführen, warum Sie diese Entscheidung noch bis ins nächste Jahr vertagen möchten. 

Ab wann gilt das Data Privacy Framework?

Das DPF gilt erst, wenn die EU-Kommission die Angemessenheit des Datenschutzes auf der Grundlage der Zusicherungen des US-Präsidenten festgestellt hat. Dies wird für das Jahr 2023 erwartet.

Gilt das Data Privacy Framework automatisch für alle US-Unternehmen?

Das konkrete Verfahren steht noch nicht fest, aber es ist davon auszugehen, dass sich US-Unternehmen zur Einhaltung der DSGVO verpflichten müssen (sogenannte Selbstzertifizierung). Große Unternehmen werden dies, wie beim Privacy Shield, sicherlich tun, und es ist wieder mit einer Datenbank der teilnehmenden Unternehmen zu rechnen.

Was sollte ich jetzt unternehmen?

Zum jetzigen Zeitpunkt müssen Sie im Hinblick auf die DSGVO nichts unternehmen. Bis es gilt, müssen Sie aber weiterhin nachweisen können, dass die Nutzung der US-Provider zulässig ist (sog. Data Transfer Impact Assessments (TIA), die ich im letzten Newsletter erläutert habe).

Auch im Rahmen des TIA kann die „Executive Order“ des US-Präsidenten bereits als risikomindernder Faktor berücksichtigt werden.

Fazit

Ob dieser Erlass einen rechtssicheren Rahmen für die transatlantischen Datenübermittlungen schafft, ist noch nicht absehbar. Zwar sind die Reaktionen der Datenschützer durchweg positiv, jedoch gibt die skeptische Einstellung des Datenschutzaktivisten Max Schrems zu bedenken. Er sieht Zweifel an der Vereinbarkeit dieses Erlasses mit dem EU-Recht, insbesondere weil die Unabhängigkeit eines Beschwerdeverfahrens nicht vorgesehen ist. 

Sollten sich weitere Entwicklungen zu diesem Thema auftun, erfahren Sie auf unserem Blog sofort darüber!