Der dritte Versuch und die Folgen
Die EU hat am 10.07.2023 mit den USA ein Abkommen zum Datentransfer zwischen der EU und den USA verabschiedet. Das sogenannte Trans-Atlantic-Data-Privacy-Framework (TADPF) ist nach Safe Harbour und Privacy Shield der dritte Versuch den Datentransfer in die USA zu legalisieren.
Wir geben Ihnen einen kurzen Überblick über die Folgen und die Maßnahmen, die jetzt durchzuführen sind.
Durch den Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 DSGVO gilt die USA nun als sicherer Drittstaat. Dies wirkt jedoch nur eingeschränkt auf diejenigen Datenempfänger, die sich bereits gegenüber dem TADPF zertifiziert haben. Solche Auftragsverarbeiter werden zukünftig unter www.dataprivacyframework.gov gelistet sein. Aktuell ist die Webseite jedoch noch in Bearbeitung. Der Betrieb der Webseite soll ab dem 17. Juli 2023 aufgenommen werden.
Bisher mussten für Datentransfers von personenbezogenen Daten in die USA mit dem US-Auftragsverarbeiter Standardvertragsklauseln (SCC) abgeschlossen werden. Diese SCC werden nun entsprechend durch Zertifizierungen gegen TADPF ersetzt. Zusätzlich mussten entsprechende Risikoabschätzungen in Form von Transfer-Impact-Assessments (TIA) durchgeführt werden. Wichtig ist, dass SCC und TIA weiterhin für Auftragsverarbeiter benötigt werden, die nicht dem TADPF beigetreten sind. Da bereits Klagen gegen das neue Abkommen mit den USA angekündigt worden sind, sollte die bisherige Regelung besser nicht verworfen werden, denn es ist zu erwarten, dass sie nach einem möglichen Wegfall von TADPF bald wieder benötigt werden.
Der Ausschuss für bürgerliche Fragen, Justiz und Inneres des europäischen Parlaments hatte übrigens empfohlen, das Abkommen (TADPF) mit den USA abzulehnen. Die gemeinnützige Organisation NOYB unter der Leitung des österreichischen Juristen Max Schrems, bereitet nach eigenen Angaben bereits eine Klage gegen das Abkommen vor. Herr Schrems hatte übrigens bereits die letzten beiden Abkommen mit den USA zu Fall gebracht. Sollte das TADPF tatsächlich wieder für ungültig erklärt werden, gelten die bisherigen Regelungen, wie Standardvertragsklauseln und die Pflicht zur Prüfung eines ausreichenden Datenschutzniveaus durch eine Datenschutz-Folgeabschätzung (TIA). Aktuell scheint es also angebracht, weiterhin Standardvertragsklauseln und Risikoabschätzungen zum Datentransfer in die USA umzusetzen. Insbesondere um Haftungsrisiken der Verantwortlichen abzumildern.
Handlungsempfehlungen:
-
Prüfen Sie, ob sich von Ihnen eingesetzte Auftragsverarbeiter mit Sitz in den USA, gegenüber dem TADPF zertifiziert haben. Ist der Dienstleister nicht zertifiziert, gelten die bisherigen Regelungen zum Datentransfer.
-
Prüfen Sie, ob für bestehende Standardvertragsklauseln mit US-Auftragsverarbeitern Anpassungen erforderlich sind.
-
Auftragsverarbeiter mit Sitz in den USA, die nicht dem TADPF beigetreten sind, müssen weiterhin mit SCC und TIA abgesichert werden.
-
Bestehende Datenschutzerklärungen sollten ggf. bis Ende 2023 angepasst werden. Hier muss die rechtliche Grundlage für den Drittlandtransfer beschrieben werden. Ebenso muss der Empfänger genannt und die Umstellung von SCC auf TADPF dokumentiert werden.
-
Zusätzlich sollte regelmäßig geprüft werden, ob bestehende Auftragsverarbeiter aus den USA, dem TADPF beigetreten sind.
-
Die veränderten Grundlagen des Datentransfers müssen im Verarbeitungsverzeichnis dokumentiert werden.
-
Bestehende Drittlands-Folgeabschätzungen (TIA), die Risiken der Datenübertragung in die USA enthalten, müssen aktualisiert werden.
Bei Fragen zur Umsetzung steht Ihnen unser Team gerne zur Verfügung.
Quellen und Links:
-
Europäische Kommission: Adequacy decision EU-US Data Privacy Framework (PDF) vom 10.07.2023
-
USA: Important Privacy Shield Program Update vom 11.07.2023
-
Europäische Kommission: Adequacy decisions – hier wird die Angemessenheitsentscheidung in Zukunft dokumentiert werden.
Autor: Markus Vatter, Head of Compliance, 18.07.2023