Neuer Angemessenheitsbeschluss zwischen der EU und den USA
Am 10.07.2023 wurde der neue Angemessenheitsbeschluss durch die EU-Kommission im Rahmen des EU-US Data Privacy Framework angenommen. Die EU-Kommission bestätigt durch den Beschluss das angemessene Datenschutzniveau in den USA für Datenübermittlungen. Das bedeutet, dass ein Datentransfer aus der EU in die USA unter bestimmten Voraussetzungen wieder erleichtert möglich wird und die zwischenzeitlichen Maßnahmen (Abschluss von Standardvertragsklauseln/Durchführung einer Drittlandtransfer-Folgenabschätzung, sowie ergänzende Vereinbarung vertraglicher bzw. technischer Sicherheiten) wegfallen können.
Näheres hierzu finden Sie in unseren News.
Wir haben uns entschlossen, die unten aufgeführten Informationen beizubehalten, da die realitische Gefahr besteht, dass nach "Safe Harbour" und "Privacy Shield" auch das "Data Privacy Framework" durch das EuGH als ungültig erklärt wird. Daher sollte man die unten aufgeführten Maßnahnen stets im Hinterkopf behalten, da sie ggf. "plötzlich" wieder aktuell werden.
Bitte beachten Sie, dass sich die nachfolgenden Informationen auf das Schrems-II-Urteil beziehen (Urteil, dass das Privacy Shield als Rechtsvorgänger des Data Privacy Frameworks nicht rechtskonform ist) und die daraus resultierende Notwendigkeit, SCC abzuschließen.
[Historie] Schrems II: Konsequenzen aus dem EuGH-Urteil zum Privacy Shield
Der EuGH verkündete ein Urteil, das den Datenschutz bei Drittlandtransfer von personenbezogenen Daten massiv betrifft. Hier möchten wir Sie über die Kernpunkte des Urteils, die Hintergründe und das weitere Vorgehen informieren. Weitere Informationen finden Sie auch in unserem Info-Brief UIMCommunication 07/2020 und 09/2020.
Update: UK nun "sicheres Drittland".
Was sind die Kernpunkte des Urteils?
- Das Privacy Shield, auf welches Datentransfers zwischen Unternehmen aus EU-Mitgliedstaaten und den USA bislang oftmals gestützt werden konnten, wurde für UNGÜLTIG erklärt. Dies bedeutet: Datentransfers von Verantwortlichen aus der EU/EWR in die USA auf Basis des Privacy Shield sind nicht mehr möglich.
- Standardvertragsklauseln können weiterhin abgeschlossen werden. ABER: Dies gilt jedoch auch nur noch dann, wenn Verantwortlicher und Auftragsverarbeiter gewährleisten können, dass die Klauseln des Vertrages eingehalten werden können. Dies ist abhängig von den jeweiligen nationalen Gesetzen in den Drittländern.
- Den Aufsichtsbehörden kommt die Befugnis bzw. Pflicht zu, Datentransfers zu prüfen und ggf. zu untersagen, wenn ein sicheres Datenschutzniveau nicht durch entsprechende Garantien gewährleistet werden kann.
Wann ist das Urteil für uns relevant?
Sobald Ihr Unternehmen personenbezogene Daten in Länder außerhalb der EU/EWR transferiert, kann das Urteil für Sie relevant sein (Ausnahmen: siehe unten). Dies ist oftmals in folgenden Fällen gegeben:
- Nutzung von Dienstleistern
- Nutzung von Cloud-basierter Software
- Nutzung von Internet-Diensten
- Datenübermittlung an Tochtergesellschaften
- Konzern-interner Datentransfer
- Konzern-interne Dienstleistungen („Shared Services“)
Was sind die rechtlichen Hintergründe?
Gemäß Artt. 44 ff DSGVO müssen Verantwortliche und Auftragsverarbeiter auch bei Datentransfers in Drittländer ein angemessenes Datenschutzniveau gewährleisten. Drittländer sind alle Länder außerhalb der EU/EWR. Hierbei ist zwischen sicheren und unsicheren Drittländern zu unterscheiden. Sichere Drittländer sind solche, denen die Europäische Kommission per Angemessenheitsbeschlusses ein angemessenes Datenschutzniveau bestätigt hat. Dort gewährleisten die nationalen Gesetze einen Schutz von personenbezogenen Daten, welcher mit dem des EU-Rechts vergleichbar ist. Zum Zeitpunkt der Anwendbarkeit der Datenschutz-Grundverordnung gehören zu den sicheren Drittstaaten: Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay, Japan. In diese ist die Datenübermittlung daher ausdrücklich gestattet.
Bislang zählte hierzu auch die USA, wenn der Empfänger dem Privacy Shield angehört. Dies änderte sich mit dem EuGH-Urteil.
Was sind die Konsequenzen aus dem Urteil?
Grundsätzlich gilt, dass aktuell davon auszugehen ist, dass kein Datentransfer in die USA (und vermutlich auch in andere Länder mit Massenüberwachungsgesetzen) zulässig ist bzw. Datenschutz-Aufsichtsbehörden keinen Datentransfer als zulässig erachten werden. Durch Maßnahmen können die Risiken für die Rechte und Freiheiten der betroffenen Personen aber reduziert werden, was – sofern dies stattfinden sollte – die Bewertung einer Datenschutz-Aufsichtsbehörde verbessern kann, was sich wiederum auf eine etwaige Bußgeldbemessung positiv auswirken könnte.
Tipp 1: Prüfung, ob Datentransfers in die USA oder andere Drittstaaten stattfinden
Erstellen Sie eine Liste der Datentransfers (Tipp: Schauen Sie in Ihr Verzeichnis von Verarbeitungstätigkeiten bzw. Verfahrensverzeichnis):
- Gesellschaften innerhalb des Unternehmensverbunds
- Dienstleister (insbesondere Cloud- und SaaS-Anbieter)
- Sub-Dienstleister (insbesondere Cloud- und SaaS-Anbieter)
Tipp 2: Beurteilung der Notwendigkeit
Beurteilung der Notwendigkeit der betroffenen Verarbeitungen und der Unersetzbarkeit des Dienstleisters [inkl. Dokumentation]:
1. Ist die Datenverarbeitung/DV bzw. die Art der DV zwingend erforderlich?
- So ist ein ERP-System wesentlich bedeutsamer als ein Newsletter-Versand-Tool und z. T. sogar unersetzlich für den Unternehmenserfolg.
- Falls nein: Datenverarbeitung (zumindest temporär) stoppen
2. Ist im Rahmen der Datenverarbeitung ein Datentransfer in Drittstaaten erforderlich?
- In einem in globale Strukturen einer internationalen Unternehmensgruppe kann übergreifendes (z. B. cloudbasiertes) CRM-System weniger gut auf internationale Zugriffsmöglichkeiten verzichtet werden als bei ein internen HR-/Personalverwaltungs-System, welches auch nur lokal bzw. innerhalb der EU betrieben werden.
- Falls nein: Datentransfer (zumindest temporär) stoppen
3. Kann der aktuell genutzte Dienstleister/Systemanbieter durch einen anderen Dienstleister innerhalb der EU/EWR ersetzt werden?
- Ein tief in die Unternehmensprozesse integriertes ERP-System ist wesentlich schwieriger austauschbar als ein nicht mit anderen Prozessen verzahntes System wie beispielsweise Website-Tracking-Tool.
- Falls ja: Dienstleister-Wechsel vorbereiten
Tipp 3: Kontaktaufnahme mit dem Dienstleister
Bei Feststellung der Erforderlichkeit und Unersetzbarkeit (Dokumentation nicht vergessen): Kontaktaufnahme mit dem Dienstleister
1. Versand des Fragebogens [siehe Praxishilfen in unserem eCollege; Account erforderlich]
2. Erörterung der Möglichkeit, des Abschlusses von ergänzten Standardvertragsklauseln (SCC+; Rechtswirksamkeit unter Aufsichtsbehörden derzeit noch umstritten)
- Ist der Dienstleister selbst nach nachhaltiger Aufforderung nicht bereit, ist dies zu dokumentieren und die Unersetzlichkeit nochmal neu zu bewerten.
3. Sofern der Vertragspartner eine EU-Gesellschaft ist und nur der Sub-Dienstleister in Drittstaaten sitzt: Erörterung der Möglichkeit, sich vertraglich zusichern zu lassen, dass ein Drittlandtransfer ausgeschlossen werden kann
- Ist der Dienstleister selbst nach nachhaltiger Aufforderung nicht bereit, ist dies zu dokumentieren und die Unersetzlichkeit nochmal neu zu bewerten.
4. Erörterung der Möglichkeit, die Inhaltsdaten so zu verschlüsseln, dass eine Einsichtnahme durch den Dienstleister/Sub-Dienstleister nicht möglich ist
- Ist dies nicht möglich, ist dies zu dokumentieren und die Unersetzlichkeit nochmal neu zu bewerten.
Ihr Ansprechpartner
Tim Hoffmann
Nützliche F.A.Q.
Auch haben wir FAQ zu weiteren Themen zusammengestellt. Aktuell finden Sie folgende Themen umfassend und interessant aufbereitet:
Praxishilfen
Sie finden unsere Praxihilfen im eCollege unter FAQ und Wissenswertes.
Hierzu ist ein Account erforderlich; falls Sie diesen noch nicht haben, Fragen Sie nach unseren Angeboten zum eCollege
