Das EU-US Data Privacy Framework ist da!

Was ist passiert?

Am 10. Juli 2023 hat die EU-Kommission den lange erwarteten Angemessenheitsbeschluss für den Datenaustausch mit den USA erlassen. Grundlage ist das zwischen der EU und den USA getroffene EU-US Data-Privacy-Framework (DPF). 

US-Unternehmen, können sich unter dem DPF zertifizieren. Wenn dies der Fall ist, kann eine Datenübermittlung an US-Unternehmen erfolgen. Eine Übersicht der zertifizierten Unternehmen kann der gestern von der US-Regierung veröffentlichten Liste entnommen werden. Große Anbieter wie Microsoft, Google oder Amazon gehören zu den ca. 2.000 bereits zertifizierten Unternehmen.

Welche Auswirkungen hat der Beschluss?

Wenn Sie mit einem zertifizierten Unternehmen zusammenarbeiten, müssen Sie nicht auf die Standardvertragsklauseln zurückgreifen und vor allem entfällt die Pflicht, eine Transferfolgenabschätzung durchzuführen.

Ist ein Datentransfer in die USA damit immer rechtmäßig? 

Nein, die Datenverarbeitung durch US-Unternehmen unterliegt den gleichen Beschränkungen wie die Datenverarbeitung durch EU-Unternehmen. Das bedeutet, bei einem hohen Risiko für die betroffenen Personen muss eine Datenschutzfolgenabschätzung durchgeführt werden. Bei mitbestimmten Unternehmen muss ggf. für die Verarbeitung von Mitarbeiterdaten eine Betriebsvereinbarung getroffen werden. 

Auch sind Sie als Verantwortlicher nach der DSGVO weiterhin für die Datenverarbeitung verantwortlich. D.h. unter anderem, dass Sie beim Einsatz von Microsoft 365 die Rechenschaftspflicht einhalten müssen.

Gibt es nun endlich Rechtssicherheit? 

Solange der Angemessenheitsbeschluss in Kraft ist, können Daten auf dessen Grundlage in die USA transferiert werden. Das EU-Parlament hatte sich jedoch im Vorfeld kritisch geäußert und die umgesetzten Maßnahmen als unzureichend angesehen. Die Datenschutzaktivisten von „NOYB“ um Max Schrems, die schon „Safe Harbour“ und „Privacy Shield“ vor dem EuGH zu Fall gebracht haben, haben bereits angekündigt, Klage gegen den neuen Angemessenheitsbeschluss einzureichen

Ob „Schrems III“ auch dieses Abkommen kippt, bleibt also abzuwarten.  

Checkliste 

Prüfen Sie, ob 

  • der von Ihnen eingesetzte US-Dienstleister nach dem DPF zertifiziert ist; 
  • ein geeigneter Vertrag über die Auftragsverarbeitung bzw. über die Übermittlung von Daten besteht; 
  • Sie den geforderten Rechenschafts- und Informationspflichten nachkommen;  
  • Mitbestimmungspflichtige Verarbeitungen vorliegen; 
  • eine Datenschutzfolgeabschätzung notwendig ist. 

Sprechen Sie uns gerne an.