Neuer Angemessenheitsbeschluss zwischen der EU und den USA
Am 10.07.2023 wurde der neue Angemessenheitsbeschluss durch die EU-Kommission im Rahmen des EU-US Data Privacy Framework angenommen. Die EU-Kommission bestätigt durch den Beschluss das angemessene Datenschutzniveau in den USA für Datenübermittlungen. Das bedeutet, dass ein Datentransfer aus der EU in die USA unter bestimmten Voraussetzungen wieder erleichtert möglich wird und die zwischenzeitlichen Maßnahmen (Abschluss von Standardvertragsklauseln/Durchführung einer Drittlandtransfer-Folgenabschätzung, sowie ergänzende Vereinbarung vertraglicher bzw. technischer Sicherheiten) wegfallen können.
Näheres hierzu finden Sie in unseren News.
Wir haben uns entschlossen, die unten aufgeführten Informationen beizubehalten, da die realitische Gefahr besteht, dass nach „Safe Harbour“ und „Privacy Shield“ auch das „Data Privacy Framework“ durch das EuGH als ungültig erklärt wird. Daher sollte man die unten aufgeführten Maßnahnen stets im Hinterkopf behalten, da sie ggf. „plötzlich“ wieder aktuell werden.
Bitte beachten Sie, dass sich die nachfolgenden Informationen auf das Schrems-II-Urteil beziehen (Urteil, dass das Privacy Shield als Rechtsvorgänger des Data Privacy Frameworks nicht rechtskonform ist) und die daraus resultierende Notwendigkeit, SCC abzuschließen.
[Historie] Schrems II: Konsequenzen aus dem EuGH-Urteil zum Privacy Shield
Der EuGH verkündete ein Urteil, das den Datenschutz bei Drittlandtransfer von personenbezogenen Daten massiv betrifft. Hier möchten wir Sie über die Kernpunkte des Urteils, die Hintergründe und das weitere Vorgehen informieren. Weitere Informationen finden Sie auch in unserem Info-Brief UIMCommunication 07/2020 und 09/2020.
Update: UK nun „sicheres Drittland„.
Was sind die Kernpunkte des Urteils?
- Das Privacy Shield, auf welches Datentransfers zwischen Unternehmen aus EU-Mitgliedstaaten und den USA bislang oftmals gestützt werden konnten, wurde für UNGÜLTIG erklärt. Dies bedeutet: Datentransfers von Verantwortlichen aus der EU/EWR in die USA auf Basis des Privacy Shield sind nicht mehr möglich.
- Standardvertragsklauseln können weiterhin abgeschlossen werden. ABER: Dies gilt jedoch auch nur noch dann, wenn Verantwortlicher und Auftragsverarbeiter gewährleisten können, dass die Klauseln des Vertrages eingehalten werden können. Dies ist abhängig von den jeweiligen nationalen Gesetzen in den Drittländern.
- Den Aufsichtsbehörden kommt die Befugnis bzw. Pflicht zu, Datentransfers zu prüfen und ggf. zu untersagen, wenn ein sicheres Datenschutzniveau nicht durch entsprechende Garantien gewährleistet werden kann.
Wann ist das Urteil für uns relevant?
- Nutzung von Dienstleistern
- Nutzung von Cloud-basierter Software
- Nutzung von Internet-Diensten
- Datenübermittlung an Tochtergesellschaften
- Konzern-interner Datentransfer
- Konzern-interne Dienstleistungen („Shared Services“)
Was sind die rechtlichen Hintergründe?
Gemäß Art. 44 ff DSGVO müssen Verantwortliche und Auftragsverarbeiter auch bei Datentransfers in Drittländer ein angemessenes Datenschutzniveau gewährleisten. Drittländer sind alle Länder außerhalb der EU/EWR. Hierbei ist zwischen sicheren und unsicheren Drittländern zu unterscheiden. Sichere Drittländer sind solche, denen die Europäische Kommission per Angemessenheitsbeschlusses ein angemessenes Datenschutzniveau bestätigt hat. Dort gewährleisten die nationalen Gesetze einen Schutz von personenbezogenen Daten, welcher mit dem des EU-Rechts vergleichbar ist. Zum Zeitpunkt der Anwendbarkeit der Datenschutz-Grundverordnung gehören zu den sicheren Drittstaaten: Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay, Japan. In diese ist die Datenübermittlung daher ausdrücklich gestattet.
Bislang zählte hierzu auch die USA, wenn der Empfänger dem Privacy Shield angehört. Dies änderte sich mit dem EuGH-Urteil.
Was sind die Konsequenzen aus dem Urteil?
Tipp 1: Prüfung, ob Datentransfers in die USA oder andere Drittstaaten stattfinden
Erstellen Sie eine Liste der Datentransfers (Tipp: Schauen Sie in Ihr Verzeichnis von Verarbeitungstätigkeiten bzw. Verfahrensverzeichnis):
- Gesellschaften innerhalb des Unternehmensverbunds
- Dienstleister (insbesondere Cloud- und SaaS-Anbieter)
- Sub-Dienstleister (insbesondere Cloud- und SaaS-Anbieter)
Tipp 2: Beurteilung der Notwendigkeit
Erstellen Sie eine Liste der Datentransfers (Tipp: Schauen Sie in Ihr Verzeichnis von Verarbeitungstätigkeiten bzw. Verfahrensverzeichnis):
- Gesellschaften innerhalb des Unternehmensverbunds
- Dienstleister (insbesondere Cloud- und SaaS-Anbieter)
- Sub-Dienstleister (insbesondere Cloud- und SaaS-Anbieter)
Tipp 3: Kontaktaufnahme mit dem Dienstleister
- Versand des Fragebogens [siehe Praxishilfen in unserem eCollege; Account erforderlich]
- Erörterung der Möglichkeit, des Abschlusses von ergänzten Standardvertragsklauseln (SCC+; Rechtswirksamkeit unter Aufsichtsbehörden derzeit noch umstritten)
- Ist der Dienstleister selbst nach nachhaltiger Aufforderung nicht bereit, ist dies zu dokumentieren und die Unersetzlichkeit nochmal neu zu bewerten.
- Sofern der Vertragspartner eine EU-Gesellschaft ist und nur der Sub-Dienstleister in Drittstaaten sitzt: Erörterung der Möglichkeit, sich vertraglich zusichern zu lassen, dass ein Drittlandtransfer ausgeschlossen werden kann
- Ist der Dienstleister selbst nach nachhaltiger Aufforderung nicht bereit, ist dies zu dokumentieren und die Unersetzlichkeit nochmal neu zu bewerten.
- Erörterung der Möglichkeit, die Inhaltsdaten so zu verschlüsseln, dass eine Einsichtnahme durch den Dienstleister/Sub-Dienstleister nicht möglich ist
- Ist dies nicht möglich, ist dies zu dokumentieren und die Unersetzlichkeit nochmal neu zu bewerten.
Immer gut informiert
Newsletter
Bleiben Sie mit unserem Info-Brief auf dem Laufenden.
Abonnieren Sie den Newsletter und verpassen Sie keinen unserer Artikel.
Sie benötigen Beratung zum Datenschutz, eine Schulung des Datenschutzbeauftragten der Firma oder einen externen Datenschutzbeauftragten?
Melden Sie sich bei uns und lassen Sie sich unverbindlich und kostenfrei beraten.