Data Privacy Framework: Neuer Angemessenheitsbeschluss für Datentransfers in die USA

Worum geht es?

Bis 2020 hatten wir mit dem Privacy Shield eine Angemessenheitsvereinbarung, die mehr oder weniger darauf beruhte, dass US-Unternehmen sich in eine Liste eintrugen und Wohlverhalten gelobten. Die staatlichen Dienste der USA waren davon ausgenommen und konnten völlig legal und nach Belieben fröhlich Daten abgreifen (zugegeben: ich überspitze ein wenig). 2020 dann kippte der EuGH dieses unsägliche Konstrukt endgültig und wir hatten nun eine – und nur diese eine -Klarheit: das genau nichts mehr klar war bezüglich Datenübertragungen in die Vereinigten Staaten. Und dies hat nahezu jedes Unternehmen und jede Organisation in Schwierigkeiten gestürzt, dann ohne die USA geht im Internet (leider, muss man sagen) nahezu nichts. Seien es Cloud-Services von Google, Amazon, Microsoft oder einer der vielen innovativen Dienste aus dem Silicon Valley: die europäischen Anbieter haben lange Jahre den Zug schlicht verpasst und können bis heute in vielen Fällen keine gleichwertige Alternative zu US-Diensten bieten.

Zumindest teilweise Abhilfe schafften die Standardvertragsklauseln (SCC) der EU, welche – ergänzt durch flankierende Sicherheitsmaßnahmen – einen DSGVO-konformen Rahmen für Datenaustausch bieten konnten. Die Krux hierbei waren allerdings ebendiese zusätzlichen Sicherheitsmaßnahmen, die zu erfüllen in aller Regel ein eher abenteuerliches Unterfangen war.

Seitdem wurde verhandelt, um für beide Seiten wieder eine gangbare Lösung zu finden. Mit dem Data Privacy Framework (DPF) haben die EU-Kommission und das US-Handelsministerium nun – zumindest formal und vorläufig – Rechtssicherheit geschaffen. Die Logik ähnelt der des Privacy Shield verblüffend: Unternehmen gehen eine Selbstverpflichtung ein, sich den Regeln des DPF zu unterwerfen. So lange sie das tun, gilt die Übertragung von Daten an diese zertifizierten Unternehmen per Definition als sicher.

Für viele insb. kleine Unternehmen ist das DPF eine enorme Erleichterung in der Gestaltung Ihrer Datenverarbeitung, da doch beliebte Online-Dienste und Tools nun wieder relativ problemlos rechtskonform verwendet werden können.

Wie verlässlich ist das DPF?

Nach meiner Einschätzung sollte man sich nicht zu sehr darauf verlassen, dass das DPF auch lange „hält“. Denn wie zu erwarten haben Datenschützer wie Max Schrems (bzw. korrekterweise seine NGO „noyb“) bereits Gegenwind angekündigt, da vereinfacht ausgedrückt (und dieser Meinung schließe ich mich im Wesentlichen an) das DPF nur der schlecht aufgewärmte neue Versuch des rechtswidrigen Privacy Shields unter neuem Namen ist. Es ist also mutmaßlich nur eine Frage der Zeit, bis der EuGH erneut entscheiden wird.

Was ist jetzt konkret zu tun?

Unternehmen müssen ggf. die rechtliche Vertragsgrundlage mit Ihren US-Geschäftspartner aktualisieren sowie die zugehörigen Datenschutzerklärungen und -Informationen anpassen. In einer Liste des US Handelsministeriums kann geprüft werden, ob ein Unternehmen nach DPF zertifiziert ist. Die Vereinbarung von Standardvertragsklauseln (SCC) sollte zudem keinesfalls ad acta gelegt werden, da es vielfach auch unter dem DPF gute Gründe für die Kombination „SCC plus zusätzliche Maßnahmen“ geben kann.