Am 10. Juli 2023 hat die EU-Kommission einen neuen Angemessenheitsbeschluss nach Art. 45 DSGVO für den Transfer personenbezogener Daten in die USA veröffentlicht. Das EU-US Data Privacy Framework („DPF“) bringt neue Rechtssicherheit für Unternehmen. Wir geben einen ersten Überblick, was zu tun ist und was die von NOYB schon angekündigte Klage gegen das DPF in der Praxis bedeutet.
Seit dem 16. Juli 2020 haben Datenschützer mit dem datenschutzkonformen Einsatz von US-Tools gekämpft: Der EuGH hatte in seinem Urteil an diesem Tag den Vorgänger, das sog. EU-US Privacy Shield, für ungültig erklärt. Seither konnte der US-Transfer personenbezogener Daten nur noch über andere Instrumente, konkret etwa Standardvertragsklauseln, Binding Corporate Rules oder womöglich eine Einwilligung (Art. 46, 49 Abs. 1 lit. a DSGVO) abgesichert werden. Rechtsunsicherheiten verblieben auch hierbei.
Nunmehr ist ein neuer Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO erlassen. Einen ersten Überblick gibt die Kommission hier, der Angemessenheitsbeschluss selbst ist hier abrufbar.
Der Angemessenheitsbeschluss ermöglicht einen den DSGVO-konformen US-Transfer personenbezogener Daten unter deutlich einfacheren und sichereren Bedingungen: Der Datenexporteur in der EU muss lediglich noch prüfen, ob sich der Datenempfänger unter dem DPF zertifiziert hat. Dieses Prozedere ist vom EU-US Privacy Shield noch gut bekannt.
Was ist jetzt zu tun?
- US-Transfers identifizieren: Hier haben die Analysen im Unternehmen spätestens nach der EuGH-Entscheidung 2020 (Schrems II) regelmäßig schon einen guten Überblick gebracht.
- Prüfen, ob eingebundene US-Unternehmen unter dem DPF zertifiziert sind: Dies wird über die US-Website https://www.dataprivacyframework.gov/s/ voraussichtlich ab dem 17. Juli 2023 möglich sein.
- Aktualisierung von Datenschutzerklärungen auf den Websites und allen Betroffeneninformationen nach Art. 13, 14 DSGVO, etwa der Information der Mitarbeitenden.
- Prüfung, ob Verträge mit US-Anbietern (oder Anbietern, die auf US-Unternehmen zugreifen), erforderlich sind. Oft wird das nicht notwendig sein, weil viele Verträge dynamisch gestaltet sind: Sie verweisen auf einen Angemessenheitsbeschluss, soweit es einen gibt, und sehen nur ergänzend und subsidiär die Vereinbarung von Standardsvertragsklauseln vor. Wenn dies so ist, muss auch nichts geändert werden – die Standardvertragsklauseln können dann „im Hintergrund“ stehen bleiben.
- Prüfung, ob weitere Dokumente zu aktualisieren sind (insb. Verarbeitungsverzeichnis, Datenschutzfolgenabschätzungen etc.). Dies ist abhängig von der jeweiligen Dokumentationsstruktur.
Wie lange hält das DPF?
Die Organisation NOYB kündigte bereits an, auch gegen das DPF vorgehen zu wollen. Ihr Argument: Die Regeln reichen nicht, um personenbezogene Daten auch in den USA abzusichern. Ob dies zutrifft, wird letztlich der EuGH zu entscheiden haben.
Für Unternehmen ist wichtig: Solange der EuGH den Angemessenheitsbeschluss nicht aufgehoben hat, ist er wirksam. Dies bleibt er, auch wenn Klage eingereicht wird. Unternehmen können sich also auch so lange auf ihn stützen.
Für die Praxis bedeutet das:
- Tools und Anwendungen ohne LockIn-Risiko, bei denen einfach zu anderen Tools migriert werden kann, können bedenkenlos auf den aktuellen Angemessenheitsbeschluss gestützt werden.
- Tools und Anwendungen mit LockIn-Effekt und Migrationsaufwand sollten sorgfältig daraufhin geprüft werden, ob notfalls nach einer EuGH-Entscheidung gegen das DPF in einigen Jahren auf ein anderes Tool gewechselt werden könnte und ob – gerade bei individuell verhandelten Verträgen – direkt eine angemessene Migrationsklausel aufgenommen wird.
Fazit
Festzuhalten bleibt danach: Der jetzt veröffentlichte Angemessenheitsbeschluss bringt deutliche Rechtssicherheit und erleichtert die Digitalisierung in den Unternehmen. Für die tägliche Praxis kann die Diskussion um die tatsächliche Sicherheit zunächst hinten an gestellt werden, so bedeutend sie gesellschaftlich und politisch auch ist.