Das Thema
Am 10. Juli ist ein neuer Angemessenheitsbeschluss mit den USA veröffentlicht worden, das EU-US Data Privacy Framework („DPF“). Seitdem können personenbezogene Daten zu US-Unternehmen, die sich im Rahmen des DPF selbstzertifiziert haben, ohne geeignete Garantien wie Standardvertragsklauseln („SCC“) oder Binding Corporate Rules („BCRs“) übermittelt werden. Nachdem sich die erste Aufregung aufgrund der unangekündigten Veröffentlichung des DPFs gelegt hat, muss man sich als Unternehmen nun fragen, ob man personenbezogene Daten von nun an nur noch nach dem DPF zertifizierte US-Unternehmen übermitteln will oder weiterhin auch auf SCC setzen will. Daneben gibt es aber insbesondere hinsichtlich der Umsetzung des DPF im eigenen Unternehmen viel zu beachten. Überall, wo bisher auf SCC gesetzt und jetzt das DPF gilt, müssen unter Umständen Verträge und auch Betriebsvereinbarungen angepasst werden.
Das EU-US Data Privacy Framework und seine Funktionsweise
Durch das DPF vereinfacht sich der Datentransfer zu privaten Unternehmen in die USA. Ein Datentransfer zu US-Unternehmen, die sich über die Seite des DPF selbstzertifiziert haben, ist seit dem 10. Juli ohne geeignete Garantien nach Art. 46 DSGVO möglich. Für diese Unternehmen liegt ein angemessenes Datenschutzniveau i.S.d. Art. 45 DSGVO vor.
Die nun vorgestellte Zertifizierung nach dem DPF ist sehr ähnlich zur Zertifizierung nach dem Privacy Shield, welches der EuGH am 16.07.2020 („Schrems-II“) für ungültig erklärt hatte. Unternehmen können sich auf der Seite des US-Handelsministeriums (https://www.dataprivacyframework.gov/) registrieren und selbstzertifizieren. Im Rahmen dieser Selbstzertifizierung müssen die US-Unternehmen zunächst festlegen, ob auch Beschäftigtendaten vom Transfer erfasst sein sollen, und dann gegenüber dem US-Handelsminister ihre Datenschutzrichtline und ihre Datenschutzerklärungen offenlegen (bei Zertifizierung für Beschäftigtendaten auch die für Beschäftigtendaten geltenden Richtlinien und Erklärungen). Daneben müssen sich sie sich dazu verpflichten, die Datenschutzgrundsätze und die Betroffenenrechte, die das DPF vorsieht, einzuhalten. Zum Start des DPF sind in der Datenbank des US-Handelsministeriums bereits 2.546 Unternehmen als zertifiziert vertreten. Hier enthalten sind auch die Unternehmen, die sich schon nach dem Privacy Shield zertifiziert hatten. Diese Unternehmen haben nun 3 Monate Zeit, die Zertifizierung zu aktualisieren, um auch nach dem DPF zertifiziert zu sein. Unabhängig von diesem Prozess muss die DPF-Zertifizierung jährlich erneuert werden.
Wie auch schon unter Privacy Shield können öffentliche Einrichtungen der USA sowie Banken, Luftverkehrs- und Versicherungsunternehmen nicht am DPF teilnehmen und sind daher von einer Zertifizierung ausgeschlossen. Diese Unternehmen wie auch Unternehmen, die sich nicht zertifizieren lassen, gelten weiterhin als Unternehmen in Drittländern nach Art. 46 ff. DSGVO und für einen Transfer zu diesen Unternehmen muss auf andere Instrumente wie SCC zurückgegriffen werden.
Die Kritik am DPF
Auch wenn das DPF von den meisten als richtige Entscheidung aufgenommen wurde, ist es nicht ohne Kritik geblieben. So haben sowohl der EDSA (EDSA-Empfehlung 05/2023) als auch die deutsche Datenschutzkonferenz (DSK; Pressemitteilung vom 01.03.2023) gegenüber dem Angemessenheitsbeschluss Vorbehalte geäußert. So sei zwar der Angemessenheitsbeschluss ein wichtiger und richtiger Schritt mit deutlichen Verbesserungen bezogen auf Schrems-II, jedoch seien nicht alle durch den EuGH in Schrems-II kritisierten Punkte behoben worden. So würden etwa weiterhin echte Betroffenenrechte fehlen, es gäbe keine Klarheit bezogen auf die Weiterübermittlung von Daten und es bestünden weiterhin Ausnahmen im beachtlichen Umfang für Geheimdienste. Aus ähnlichen Erwägungen hat daher auch der Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlamentes (LIBE) der EU-Kommission von diesem Angemessenheitsbeschluss abgeraten.
Neben diesen öffentlichen Stellen sehen auch private Stellen wie noyb, welches von Max Schrems gegründet wurde, das DPF kritisch. So kritisiert etwa noyb, dass
- der vereinbarte Rechtsbehelf kein gerichtlicher Rechtsbehelf vor einem Gericht i. S. d. Artikel 47 der EU-GRCh sei, weil diese Funktion durch ein Exekutivorgan ausgeführt werde,
- der nun eingeführte Begriff der Verhältnismäßigkeit eine andere Bedeutung in den USA habe und
- es weiterhin keinen ausreichenden Schutz der Privatsphäre für Nicht-US-Bürger in den USA gebe. Daher hat noyb bereits angekündigt, gegen den neuen Angemessenheitsbeschluss zu klagen zu wollen. Bis der EuGH zum DPF entscheidet, wird es daher zunächst eine gewisse Unsicherheit hinsichtlich Datentransfers auf Basis des DPF geben.
Datentransfers außerhalb des DPF
Auch wenn der Angemessenheitsbeschluss nun veröffentlicht wurde, bedeutet dies nicht, dass man von nun an personenbezogene Daten nur noch an nach dem DPF zertifizierte Unternehmen transferieren könnte. Es bleibt weiterhin möglich, Daten auf Grundlage von geeigneten Garantien wie SCC oder BCRs an US-Unternehmen zu transferieren. Hierbei ist jedoch zu beachten, dass weiterhin ein Transfer Impact Assessment (TIA) durchgeführt werden muss. Ein solches TIA, was vor Veröffentlichung des DPF komplex war, ist mit Veröffentlichung des DPF nun aber deutlich einfacher geworden. Wie auch der Europäische Datenschutzausschuss (EDSA) in seinem Informationsschreiben vom 18. Juli erklärt, kann man nun die Bewertung der EU-Kommission zum Datenschutzniveau in den USA in seinem TIA berücksichtigen. Die Garantien, die die US-Regierung im Rahmen des DPFs eingeführt hat, gelten nämlich unabhängig vom Übermittlungsinstrument und damit auch für Datenübertragungen aufgrund von SCCs oder BCRs.
To-Dos bei der Umstellung auf das DPF
Der neue Angemessenheitsbeschluss führt nun dazu, dass personenbezogene Daten an zertifizierte US-Unternehmen wie an ein EU-Unternehmen übertragen werden können. Bei der Umstellung von SCC auf das DPF müssen daher für bestehende Datentransfers insbesondere die folgenden Punkte beachtet werden:
- Prüfung, dass das jeweilige US-Unternehmen nach dem DPF zertifiziert ist,
- Abschluss eines Auftragsverarbeitungsvertrages, wenn das US-Unternehmen ein Auftragsverarbeiter ist und bisher kein separater Auftragsverarbeitungsvertrag abgeschlossen wurde,
- Anpassung der Datenschutzerklärungen hinsichtlich des Transferinstruments nach Art. 13 Abs. 1 lit. f DSGVO,
- Anpassung des Templates zur Beauskunftung von Betroffenenanfragen nach Art. 15 DSGVO aufgrund von Art. 15 Abs. 2 DSGVO,
- Überarbeitung des Verarbeitungsverzeichnisses hinsichtlich der Art. 30 Abs. 1 lit. e DSGVO und
- ggf. Anpassung von Datenschutzfolgenabschätzungen.
- Information des Betriebsrates
Sollte die Umstellung Software betreffen, die in Zusammenarbeit mit dem Betriebsrat auf Grundlage einer Betriebsvereinbarung eingeführt wurde, muss auch dieses Gremium involviert werden. Hier empfiehlt es sich, den Betriebsrat frühzeitig von der Beabsichtigten Umstellung zu informieren und die überarbeitete Dokumentation vorab zur Verfügung zu stellen. In den meisten Fällen wir es darüber hinaus aber nicht notwendig sein, eine neue Betriebsvereinbarung abzuschließen. Durch die Umstellung von SCC auf das DPF ändert sich lediglich das Transferinstrument und nicht die übermittelten Daten oder die Datenverarbeitung durch das US-Unternehmen selbst.
Fazit
Bei der Umstellung von SCC auf das DPF sind viele Punkte zu beachten. Bei der Umsetzung sollte nicht vergessen werden, den Betriebsrat frühzeitig zu informieren, auch wenn dieser in den meisten Fällen kein Mitbestimmungsrecht hat. Aufgrund des Aufwands kann es sich daher lohnen mit der Umstellung auf das DPF zu warten, bis der EuGH eine Entscheidung zum DPF getroffen hat. Je nach Verfahrensgang könnte dem EuGH bereits Anfang nächsten Jahres das DPF zur Prüfung vorgelegt werden. Sollten sich Unternehmen daher dafür entscheiden, weiterhin SCC als Transferinstrument einzusetzen, sollte das Transfer Impact Assessment entsprechend angepasst werden, um die Bewertung der EU-Kommission zu berücksichtigen.