Sicher – Unsicher – USA: Das neue Data-Privacy-Framework

Sicher – Unsicher – USA: Das neue Data-Privacy-Framework
11.10.2023
In unseren Beiträgen zum Datenschutz ging es auch um die Übermittlung von Daten in Drittländer. Eine Übermittlung in Staaten der EU ist sicher, denn es gilt die DS-GVO. Bei einer Übermittlung in Staaten außerhalb der EU gilt sie nicht und es wird schwieriger. Dieser Artikel beschäftigt sich mit der Drittstaatenübermittlung und dem neuen Data-Privacy-Framework in den USA.

Drittstaatenübermittlung

Eine Übermittlung von Daten in einen Drittstaat ist dann gegeben, wenn personenbezogene Daten gegenüber einem Empfänger oder einem Auftragsverarbeiter in einem Drittland offengelegt werden. Dies ist bereits dann der Fall, wenn Konferenztools US-Amerikanischer Unternehmen oder E-Mail-Anbieter englischer oder chinesischer Unternehmen benutzt werden. Ich wage zu behaupten, dass wir alle amerikanischen Tools nutzen (Teams, Zoom, Outlook). Das heißt, dass das Thema Drittstaatentransfer für uns alle interessant ist.

Wenn Daten in ein Land außerhalb des europäischen Wirtschaftsraums (EU + Lichtenstein + Norwegen + Island) übermittelt werden, ist auch für diesen Datenverarbeitungsvorgang eine Rechtsgrundlage zu suchen. Die DS-GVO enthält hier Regelungen in den Artikeln 44 bis 50.

In Art. 45 DS-GVO ist bestimmt, dass eine Drittstaatenübermittlung vorgenommen werden darf, wenn ein Angemessenheitsbeschluss vorliegt, wenn also die EU-Kommission beschlossen hat, dass ein Drittstaat ein angemessenes Datenschutzniveau hat. Eine Liste der Staaten, bei denen aktuell ein Angemessenheitsbeschluss vorliegt, ist unten angehängt.

Nach Art. 46 DS-GVO darf ein Verantwortlicher falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Um diese Voraussetzungen zu erfüllen, werden SCC (Standardvertragsklauseln) vereinbart und ein so genanntes TIA durchgeführt. In diesem Transfer Impact Assessment wird die Drittstaatenübermittlung eines konkreten Datenverarbeitungsvorgangs geprüft. Dazu gehört zum Beispiel auch die Prüfung, ob es andere Möglichkeiten für den konkreten Datenverarbeitungsvorgang gibt, der allein in Europa stattfindet (Bsp. Edudip statt Teams). Wir haben ein solches TIA für Microsoft 365 durchgeführt. Für die Durchführung eines solchen TIA im Falle eines Drittstaatentransfers stehen wir gern zur Verfügung.

Datenübermittlung in die USA 

Der neue Angemessenheitsbeschluss für das Datenschutzniveau in den USA ist endlich da. Dieser Beschluss und das Data-Privacy-Framework (DPF) ist praktisch Nachfolger des Safe-Harbor-Abkommens (gefallen durch Schrems I) und des Privacy Shield (gefallen durch Schrems II). Und auch erneut hat Max Schrems eine Klage gegen diesen Angemessenheitsbeschluss bzw. das DPF angekündigt. Wie lange es also dauert, dass wir die USA als sicheren Drittstaat bezeichnen können, ist offen. Jedenfalls aktuell sind die USA ein sicherer Drittstaat. 

Was bedeutet das?

Die Datenübermittlung in die USA bedarf keiner besonderen Genehmigung mehr, sofern sich die betreffenden US-Unternehmen auf der Website des U. S. Department of Commerce haben zertifizieren lassen und anschließend in einer dort einsehbaren Liste erfasst sind. Zertifizierungen von Unternehmen in Bezug auf das Vorgängerabkommen EU-U.S. Privacy Shield sind gemäß einer Verfügung des U. S. Department of Commerce (Important Privacy Shield Program Update vom 11.7.2023) weiterhin gültig. Die Unternehmen müssen lediglich bis zum 10.10.2023 ihre Datenschutzbedingungen entsprechend aktualisieren.

Und wenn das Unternehmen nicht lizensiert / zertifiziert wurde?

Dann gilt das, was immer gilt bei Übermittlung in Drittstaaten. Bei jeder Übermittlung von personenbezogenen Daten in einen Drittstaat obliegt dem Verantwortlichen die Prüfung des Datenschutzniveaus in dem Drittstaat auf dessen Angemessenheit. Dies hat die EU-Kommission in dem Beschluss über die SCC (Standardvertragsklauseln) festgelegt. 
Wird das DPF halten oder wird es ein Schrems III geben?
Dies wird gerade in den entsprechenden Foren und Netzwerken diskutiert. Viele Spezialisten halten es für nicht unwahrscheinlich, dass der EuGH auch diesmal zugunsten des strengeren Datenschutzes entscheidet. 

Fazit:

Im Hinblick auf die angekündigten Klagen von Max Schrems und anderen Datenschutzaktivisten können wir auch weiter nur empfehlen, das Thema nicht aus den Augen zu verlieren und gerade bei langfristigen Umstrukturierungen auf individuelle Standardvertragsklauseln in Verbindung mit der Einzelfallabwägung bzw. dem Transfer Impact Assessment zu bauen (oder den Datenverkehr tatsächlich auf den europäischen Rechtsraum zu beschränken und dafür entsprechende Umstrukturierungen in Kauf nehmen).
Wir beraten Sie dazu gern.

Liste der Staaten mit Angemessenheitsbeschluss (Stand 10.10.2023):
Andorra*
Argentinien*
Kanada*
Färöer-Inseln*
Guernsey*
Israel*
Isle of Man*
Japan
Jersey*
Neuseeland*
Republik Korea (Südkorea)
Schweiz*
Uruguay*
Vereinigtes Königreich
Vereinigte Staaten von Amerika

Wollen Sie regelmäßig Infos zu neuen Videos, Webinaren, zum Immobilienrecht und Wissen für Immobilienverwalter erhalten? Dann melden Sie sich hier zum Newsletter an.   

Autorin: Katharina Gündel, GROSS Rechtsanwaltsgesellschaft mbH
Bildnachweis: Pixabay

Services

Aktuelle Beiträge