Heureka!
Er ist da, der neue „EU-US Data Privacy Framework“ genannte Angemessenheitsbeschluss für Datentransfers in die USA.
Worum geht es?
Bis 2020 hatten wir mit dem Privacy Shield eine Angemessenheitsvereinbarung, die mehr oder weniger darauf beruhte, dass US-Unternehmen sich in eine Liste eintrugen und Wohlverhalten gelobten. Die staatlichen Dienste der USA waren davon ausgenommen und konnten völlig legal und nach Belieben fröhlich Daten abgreifen (zugegeben: ich überspitze ein wenig). 2020 dann kippte der EuGH dieses unsägliche Konstrukt endgültig und wir hatten nun eine – und nur diese eine -Klarheit: das genau nichts mehr klar war bezüglich Datenübertragungen in die Vereinigten Staaten. Und dies hat nahezu jedes Unternehmen und jede Organisation in Schwierigkeiten gestürzt, dann ohne die USA geht im Internet (leider, muss man sagen) nahezu nichts. Seien es Cloud-Services von Google, Amazon, Microsoft oder einer der vielen innovativen Dienste aus dem Silicon Valley: die europäischen Anbieter haben lange Jahre den Zug schlicht verpasst und können bis heute in vielen Fällen keine gleichwertige Alternative zu US-Diensten bieten.
Zumindest teilweise Abhilfe schafften die Standardvertragsklauseln (SCC) der EU, welche – ergänzt durch flankierende Sicherheitsmaßnahmen – einen DSGVO-konformen Rahmen für Datenaustausch bieten konnten. Die Krux hierbei waren allerdings ebendiese zusätzlichen Sicherheitsmaßnahmen, die zu erfüllen in aller Regel ein eher abenteuerliches Unterfangen war.
Seitdem wurde verhandelt, um für beide Seiten wieder eine gangbare Lösung zu finden. Mit dem Data Privacy Framework (DPF) haben die EU-Kommission und das US-Handelsministerium nun – zumindest formal und vorläufig – Rechtssicherheit geschaffen. Die Logik ähnelt der des Privacy Shield verblüffend: Unternehmen gehen eine Selbstverpflichtung ein, sich den Regeln des DPF zu unterwerfen. So lange sie das tun, gilt die Übertragung von Daten an diese zertifizierten Unternehmen per Definition als sicher.
Für viele insb. kleine Unternehmen ist das DPF eine enorme Erleichterung in der Gestaltung Ihrer Datenverarbeitung, da doch beliebte Online-Dienste und Tools nun wieder relativ problemlos rechtskonform verwendet werden können.
Wie verlässlich ist das DPF?
Nach meiner Einschätzung sollte man sich nicht zu sehr darauf verlassen, dass das DPF auch lange „hält“. Denn wie zu erwarten haben Datenschützer wie Max Schrems (bzw. korrekterweise seine NGO „noyb“) bereits Gegenwind angekündigt, da vereinfacht ausgedrückt (und dieser Meinung schließe ich mich im Wesentlichen an) das DPF nur der schlecht aufgewärmte neue Versuch des rechtswidrigen Privacy Shields unter neuem Namen ist. Es ist also mutmaßlich nur eine Frage der Zeit, bis der EuGH erneut entscheiden wird.
Was ist jetzt konkret zu tun?
Unternehmen müssen ggf. die rechtliche Vertragsgrundlage mit Ihren US-Geschäftspartner aktualisieren sowie die zugehörigen Datenschutzerklärungen und -Informationen anpassen. In einer Liste des US Handelsministeriums kann geprüft werden, ob ein Unternehmen nach DPF zertifiziert ist. Die Vereinbarung von Standardvertragsklauseln (SCC) sollte zudem keinesfalls ad acta gelegt werden, da es vielfach auch unter dem DPF gute Gründe für die Kombination „SCC plus zusätzliche Maßnahmen“ geben kann.
Sprechen wir miteinander!
Haben Sie Fragen zu Digitalisierung, Cybersicherheit oder Compliance für Ihr Unternehmen? Sind Sie Projektverantwortlicher, betrieblicher Datenschutzbeauftragter oder Compliancebeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.
Der Autor
Falk Schmidt ist Projektberater für digitale Geschäftsprozesse, Cyber Security sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studierende.
Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.