IT-Recht aktuell

Europäische Kommission nimmt Angemessenheitsbeschluss für das EU-US-Data Privacy Framework an

Die Nutzung von IT-Dienstleistern mit Sitz in den USA ist mit erheblichen Problemen verbunden, da ein Datentransfer in sog. Drittländer, die nicht der DSGVO unterliegen, gesetzlich an besondere Bedingungen geknüpft ist. So müssen die in Artikel 44 ff. DSGVO genannten „Garantien“ zur Einhaltung der DSGVO greifen. Dies ist u.a. der Fall, wenn die EU-Kommission das Datenschutzniveau des Drittlandes über einen sog. Angemessenheitsbeschluss als angemessen bewertet hat. In diesem Fall genügt der Abschluss eines Auftragsverarbeitungsvertrags, um die Datenverarbeitung abzusichern.

Liegt kein Angemessenheitsbeschluss vor, kann eine Datenübermittlung über sog. Standardvertragsklauseln der EU-Kommission abgesichert werden. Es handelt sich um Musterverträge (Musterklauseln) der EU-Kommission, die über zusätzliche Sicherungsmaßnahmen (bspw. Verschlüsselung) ergänzt und über ein sog. Transfer Impact Assessment (TIA) geprüft werden müssen. Das TIA stellt eine zu dokumentierende Risikobewertung der angestrebten Datenübermittlung dar. Unternehmen sollen durch die TIA eine eigenständige Analyse des Sicherheitsniveaus des jeweiligen Drittlandes durchführen, in das die Daten übermittelt werden sollen, um den Datentransfer mittels weiterer notwendiger Sicherungsmaßnahmen abzusichern.

Der Aufwand war für Unternehmen in der Vergangenheit daher im Hinblick auf eine US-Datenverarbeitung enorm.

Nun hat die Europäische Kommission im Juli 2023 einen Angemessenheitsbeschluss für das EU-US-Data Privacy Framework angenommen. Das Dokument ist hier veröffentlicht.

Was bedeutet das nun für Unternehmen, die US-Dienstleiter in Anspruch nehmen?

Nach wie vor müssen Unternehmen vor der Übermittlung in ein Drittland eine zweistufige Prüfung durchführen. Im ersten Schritt muss (wie bei jeder Datenverarbeitung) eine Rechtsgrundlage (Art. 6 / Art. 9 DSGVO) zur Übermittlung gefunden und bestimmt werden. Im zweiten Schritt kann nun der Angemessenheitsbeschluss der EU-Kommission in die Bewertung mit einbezogen werden. Hierbei ist allerdings zu beachten, dass

  • sichergestellt werden muss, dass das Unternehmen, welches personenbezogenen Daten erhalten oder verarbeiten soll, bereits entsprechend zertifiziert ist. Eine Liste mit zertifizierten Unternehmen ist zu finden unter: https://www.dataprivacyframework.gov/s/;
  • daneben ist sicherzustellen, dass zwischen HR (also Mitarbeiterdaten) und Non-HR unterschieden wird und das Unternehmen im Hinblick auf eben diese Datenart zertifiziert ist.

Sollten die vorgenannten Punkte sichergestellt sein, kann der Dienstleister wie ein europäischen Dienstleister über einen „einfachen“ Vertrag zur Auftragsverarbeitung (AVV) eingebunden werden.

Wichtig ist, dass diese Art der Einbindung ggfs. auch Anpassungen in den bereits geschlossenen Verträgen, im Verzeichnis der Verarbeitungstätigkeiten aber auch in den Datenschutzinformationen der Webseite notwendig machen können.

Sollte einer der vorgenannten Punkte nicht erfüllt sein, müssen -wie bisher auch und grundsätzlich bei der Übermittlung in unsichere Drittländer- die Standardvertragsklauseln (SCC) der EU-Kommission verwendet werden. Darüber hinaus sind anhand eines TIA weitere Sicherungsmaßnahmen zum Schutz der Daten zu ergreifen. Die SCC sind zu finden unter:

https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_de

Verstöße gegen die gesetzlichen Normen bei der Datenübermittlung in Drittländer sind mit erheblichen Bußgelder (bis 4 % des Jahreskonzernumsatzes oder bis zu 20.000.000,00 Euro) belegt. So verhängte die spanische Aufsichtsbehörde (AEPD) gegen Google LLC in Irland ein Bußgeld in Höhe von 10.000.000,00 Euro, da Google Löschanfragen betroffener Nutzer rechtswidrig an das „Lumen-Projekt“ der Harvard-Universität übermittelte. Das Lumen-Projekt sammelte Anträge auf Entfernung von Inhalten aus Websites innerhalb und außerhalb der USA und stellte die so erzeugten Daten Forschern und anderweitig Interessierten auf seiner Website zur Verfügung.

« Alle Artikel anzeigen