Das EU-U.S. Data Privacy Framework ist nun in Kraft getreten und damit eine Grundlage für den Datentransfer in die USA. Das Datenschutzniveau ist damit in den Vereinigten Staaten angemessen, aus Sicht der DSGVO. Damit herrscht nun keine Unsicherheit mehr bzgl. der Transfers von Daten. Leider ist dies in diesem Zuge nicht zu leicht zu betrachten, wie es den Anschein macht. In diesem Blogbeitrag wird das EU-U.S. Data Privacy Framework betrachtet und ein Blick in die Zukunft gewagt.
Wie alles begann – von Safe Harbor zu Data Privacy Framework
Allgemein ist bekannt, dass der Datentransfer in die USA aus Sicht des Datenschutzes kritisch zu betrachten ist. Um den Datentransfer zu erleichtern, wurde von der Europäischen Union ein Abkommen geschlossen. Damit wurde das Datenschutzniveau der USA als aus Sicht der DSGVO angemessen eingestuft. Dieses Abkommen hieß Safe Harbor.
Nach Auffassung von Maximilan Schrems, einem Datenschutzaktivisten aus Österreich und Vorstandsvorsitzenden von NOYB, erfüllte dieses Abkommen jedoch nicht die Vorgaben der DSGVO. Dies führte dazu, dass er eine Klage beim EuGH einreichte und damit Safe Harbor kippte. Daraufhin wurde der EU-US Privacy Shield eingeführt, bei welchem – um das Thema abzukürzen – die gleiche Problematik wie bei Safe Harbor vorlag. Damit wurde am 16. Juli 2020 der Privacy Shield ebenfalls vom EuGH gekippt. Im Juli 2023 wurde dann durch die EU Kommission das EU-U.S. Data Privacy Framework als Grundlage für einen Angemessenheitsbeschluss anerkannt und der USA damit ein angemessenes Datenschutzniveau attestiert.
Alle guten Dinge sind drei? – Worum geht es im Framework?
Mit Einführung des Data Privacy Frameworks wird es wieder ermöglicht, dass Dienste aus den USA genutzt werden. Dies ist jedoch kein Blanko-Scheck für Unternehmen, dass jedes beliebige Tool genutzt werden darf. Das Framework schränkt die Angemessenheit auf zertifizierte Unternehmen ein. Diese Zertifizierung erfolgt durch das U. S. Department of Commerce. Die zertifizierten Unternehmen werden durch das U. S. Department of Commerce in einer Liste veröffentlicht. Diese Organisationen und nur diese sind durch das Framework abgedeckt. Für alle anderen gelten weiterhin die Pflichten der DSGVO bei Transfers in unsichere Drittländer, wie z. B. ein Transfer Impact Assessment (TIA) und die Standardvertragsklauseln (SCC). Bei Transfers von personenbezogenen Daten in die USA müssen Unternehmen nun also prüfen, ob der Empfänger auf der veröffentlichten Liste geführt ist und damit von den Regeln für unsichere Drittländer ausgenommen ist. Ist dies nicht der Fall, dann ist weiterhin mit den bekannten Maßnahmen zu verfahren.
Das Data Privacy Framework zielt also darauf ab, dass ein sicherer Datentransfer gemäß dem Schrems II Urteil möglich wird und eine dauerhafte und verlässliche Rechtslage geschaffen wird.
Wie geht es nun weiter?
Die Frage, wie es nun weiter geht, stellen sich einige. Dies ist erst recht der Fall aufgrund von Schrems I und II, denn diese Urteile des EuGH kippten die jeweiligen Vorgänger vom Data Privacy Framework. Nach einem identischen Schicksal für das Data Privacy Framework, sieht es aktuell aus. NOYB – Europäisches Zentrum für digitale Rechte (Vorstandsvorsitzender: Maximilian Schrems), eine NGO, welche sich der Durchsetzung des Datenschutzes innerhalb der EU, verschrieben hat, gab dazu bereits eine Stellungnahme ab. In dieser kommt NOYB zum Schluss, dass das Framework erneut nicht den Anforderungen genügt und kündigt an, erneut vor den EuGH zu ziehen. Es ist dadurch mit einem erneuten Prozess wie bei Privacy Shield zu rechnen. Bis es jedoch zu einem Urteil kommt, können noch Monate vergehen und bis dahin ist das Data Privacy Framework eine gültige Rechtsgrundlage für den Transfer von personenbezogenen Daten in die USA.
Fazit zum EU-U.S. Data Privacy Framework
Das EU-U.S. Data Privacy Framework bietet erneut eine Möglichkeit der DSGVO-konformen Übermittlung von personenbezogenen Daten in die USA, wobei dies auf zertifizierte Organisationen in der USA eingeschränkt ist. Ob dies jedoch Bestand haben oder wie Safe Harbor und Privacy Shield vom EuGH gekippt wird, lässt sich zum jetzigen Zeitpunkt noch nicht sagen. Bis es zu so einer Entscheidung kommen könnte, wird auch noch einige Zeit vergehen und bis dahin bleibt der Angemessenheitsbeschluss in Kraft und ermöglicht Unternehmen die Datenübermittlung. Es ist jedoch nicht auszuschließen, dass es zu einem neuen Verfahren vor dem EuGH kommen wird und ein Schrems III Urteil gefällt wird. Unternehmen sollten daher auf jeden Fall eine Exit-Strategie vorbereiten und Vorkehrungen treffen, auch bei einem solchen Urteil, die Datenübermittlung weiterhin sicher durchzuführen, wenn diese unabdingbar ist.
Wir bei Rewion helfen Ihnen gerne bei dieser Angelegenheit und unterstützen Sie bei der Entscheidungsfindung, der Umsetzung und der Dokumentation. Weitere Informationen erhalten Sie auf unserer Datenschutz-Seite: Datenschutz Beratung
Disclaimer: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge übernehmen wir keine Gewähr. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.
