Ist das Data Privacy Framework (DPF) die Lösung bei der Datenübertragung in die USA und die dortige Datenverarbeitung? Oder nur eine weitere Etappe auf der Datenschutzachterbahn zwischen EU, USA und dem Europäischen Gerichtshof (EuGH)? Aber der Reihe nach: Am 10. Juli traf die EU-Kommission eine Entscheidung zur Datenübertragung in die USA und fasste einen Angemessenheitsbeschluss. Diese bedeutet konkret, dass der Datentransfer in die USA von der EU-Spitze um Kommissionspräsidentin Ursula von der Leyen als unbedenklich eingestuft wird. Voraussetzung: Die US-Unternehmen oder -Organisationen besitzen eine gültige DPF-(Selbst-) Zertifizierung. „Die EU zeigt mit diesem Beschluss, dass sie Geschäftshemmnisse reduzieren will. Wenn ich an die Schrems-Urteile denke, die die früheren Regelungen zur Datenübermittlung pulverisiert haben, bleibt die Frage, wie nachhaltig dieser Beschluss ist.“, erklärt UIMC-Datenschutzexperte Dr. Heiko Haaz. Was sollten Unternehmen also tun, um sich nachhaltig datenschutzkonform aufzustellen?
Hintergrund: Die DSGVO soll das Datenschutzniveau erhöhen. Gerade bei der Datenverarbeitung mit Kooperationspartnern außerhalb der EU spüren Unternehmen die Veränderungen. Denn die DSGVO verlangt, dass die Verantwortlichen oder Auftragsverarbeiter bei einer Datenübertragung in Drittstaaten prüfen, ob die allgemeinen Voraussetzungen der DSGVO erfüllt sind. Auf einen der wichtigsten Handelsräume der EU-Staaten, die USA, hat dies erhebliche Auswirkungen. Die Rechtsgrundlage dafür bildet Kapitel 5 der DSGVO. In Artikel 45 heißt es: „Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung.“
Data Privacy Framework: Aktuell kann mit sämtlichen US-Firmen, die über eine DPF-Zertifizierung verfügen, in Sachen Datenverarbeitung kooperiert werden. Ob dieser Zustand von langer Dauer ist, wird in Zweifel gezogen auch vom UIMC-Team. Erste Klagen auf Nichtigerklärung des Data Privacy Framework (DPF), des Angemessenheitsbeschlusses über den EU-Datenschutzrahmen vom 10. Juli 2023 sind bereits eingereicht. Auch die Organisation ‚None Of Your Business‘ des Anwalts Max Schrems hat Klage vor dem EuGH angekündigt. Die Organisation betont, dass der DPF-Schutzrahmen nur eine Kopie des Privacy Shield ist, der 2020 vom EuGH verworfen wurde.
Problemstellung: Unternehmen, die sich nun auf den DPF-Angemessenheitsbeschluss verlassen und ihr Geschäftsmodell darauf gründen, können schwer getroffen werden. Sollte die EuGH-Richterschaft tatsächlich das DPF-Schutzniveau verwerfen, entfällt am Tag der Gerichtsentscheidung die Datenschutzkonformität. Die Datenübermittlung und die Datenverarbeitung in die USA wären von einem Tag zum anderen bei Unternehmen gekappt.
Empfehlung: Was ist zu tun? „Wir raten, präventiv zu handeln. Die beste Prävention sind Standardvertragsklauseln (Standard Contractual Clauses/SCC; Anm. der Redaktion), die zwar zunächst mehr Aufwand bedeuten, aber langfristig Sicherheit und Verlässlichkeit für die eigenen Geschäfte über den Atlantik bringen“, erklärt Dr. Heiko Haaz. Übrigens: Standardvertragsklauseln machen ein ganzes Stück unabhängig von EuGH-Entscheidungen. „Leider stoßen die SCC bei US-Unternehmen nicht auf Gegenliebe, so dass es in finaler Konsequenz auf die Machtposition von Auftraggeber und Dienstleister ankommt, ob die Vertragsklauseln vom US-Unternehmen unterschrieben werden. Aber jeder Versuch macht kluch,“ erwähnt Dr. Haaz mit einem Augenzwinkern.
