Was ist das Privacy Shield 2.0?
Seit dem 10. Juli 2023 gilt der neue transatlantische Datenschutzrahmen, das EU-US Data Privacy Framework (DPF). Dies ist eine Vereinbarung zwischen der EU-Kommission und den USA, aufgrund derer ein Angemessenheitsbeschluss der Europäischen Kommission erlassen wurde (Art. 44 DSGVO). Der alte Angemessenheitsbeschluss – das sogenannte „Privacy Shield“ – wurde im Jahr 2020 vom Europäischen Gerichtshof im Zuge des Schrems II-Urteils für rechtswidrig erklärt. In vielen Mitgliedsstaaten erhoffte man sich daher einen weiteren Vorstoß vonseiten der Kommission. Seit 2020 war die Nutzung amerikanischer IT-Dienste für europäische Unternehmen mit einem erhöhten Risiko verbunden, insbesondere bei der Übermittlung personenbezogener Daten in die USA. Die Nutzung von US-Tools und -Diensten war nur unter erschwerten Bedingungen zulässig. Insbesondere die vom EuGH verlangten zusätzlichen Garantien für eine rechtskonforme Verarbeitung waren dabei in den meisten Fällen nicht zu erlangen.
Weshalb und für wen ist das Data Privacy Framework wichtig?
Betroffen sind alle europäischen Unternehmen, die personenbezogene Daten (Art. 4 DSGVO) in den USA verarbeiten oder verarbeiten lassen. Eine solche Verarbeitung finde beispielsweise immer dann statt, wenn man Dienste wie Google Analytics, Facebook Connect oder Microsoft-365 nutzt. Unternehmen in Deutschland und der übrigen EU sind nach EU-Recht verpflichtet, die Privatsphäre natürlicher Personen zu schützen. Dies wird durch Regelungen wie die DSGVO (Art. 1 DSGVO), die EU-Grundrechtecharta und die ePrivacy-Verordnung sichergestellt. Ein Datentransfer außerhalb der EU ist nur zulässig, wenn das Zielland ebenfalls den Schutz der Privatsphäre und personenbezogener Daten gewährleisten kann. Mit Blick auf die USA scheiterten schon mehrere Versuche vor allem am vermeintlich unbegrenzte Zugriff von US-Nachrichtendiensten. Thema war zudem immer wieder die recht freizügige Art und der Umfang der Datenverarbeitung durch US-Unternehmen. Das Data Privacy Framework soll dies nun ändern.
Was müssen die Unternehmen jetzt tun?
Für europäische Unternehmen bedeutet das DPF, dass sie legal mit US-Unternehmen zusammenarbeiten können, insbesondere wenn diese entsprechend der Vorgaben des Abkommens zertifiziert sind. Die Liste der zertifizierten US-Anbieter nach Privacy Shield wurde dabei einfach übernommen und ist hier einsehbar. Gegebenenfalls müssen Cookie-Banner und Datenschutzerklärungen auf der eigenen Webseite überarbeitet werden. Wenn und soweit mit amerikanischen Auftragsverarbeitern Standardvertragsklauseln vereinbart wurden, kann dies beibehalten werden. Bei nicht-zertifizierten US-Unternehmen wird weiterhin eine Transfer Impact Assessment empfohlen.
US-Unternehmen müssen zunächst die Zertifizierung erlangen, um dem Data Privacy Framework beizutreten. Dies erfolgt in drei Schritten:
1. Selbstzertifizierung bei DoC vornehmen, wobei die US-Unternehmen nachweisen müssen, dass sie den vorgeschriebenen Datenschutzvorgaben entsprechen.
2. Jährliche Erneuerung und Rezertifizierung.
3. Die betroffenen Personen müssen über die Verarbeitung ihrer personenbezogenen Daten informiert werden, etwa durch die Verwendung eines entsprechenden Datenschutzhinweises.
Bei Fragen zögern Sie bitte nicht, Ihren Datenschutzbeauftragten zu kontaktieren, um eine fundierte und präzise Auskunft zu erhalten.
Das könnte Sie auch interessieren: