Die EU-Kommission hat am 10.07.2023 die auch als „Trans-Atlantic-Data-Privacy-Framework“ (TADPF) bezeichnete Adäquanzentscheidung für den sicheren Datenverkehr zwischen der EU und den USA verabschiedet. Nach „Safe Harbor“ und „Privacy Shield“ soll dieser dritte Anlauf nun auch die Anforderungen des EuGH erfüllen und transatlantische Datentransfers sind wieder relativ unbürokratisch möglich. Es ist aber davon auszugehen, dass auch dieses Abkommen wieder vor dem EuGH landen wird.

Das TADPF führt für US-amerikanische Datenempfänger neue verbindliche Sicherheitsvorkehrungen ein. Dazu gehören die Beschränkung des Zugangs zu Daten von EU-Bürgern durch US-Geheimdienste auf das Notwendige und Angemessene sowie die Einrichtung des Data Protection Review Court – DPRC, also einer Prüfungsinstanz, zu der Betroffene auch dann Zugang haben, wenn sie keine US-Bürger sind. Das DPRC kann bei Verstößen auch die Löschung der Daten anordnen.

Das TADPF soll regelmäßig von der Europäischen Kommission gemeinsam mit Vertretern der europäischen Datenschutzbehörden und der zuständigen US-Behörden überprüft werden. Die erste Überprüfung soll innerhalb eines Jahres nach Inkrafttreten des TADPF stattfinden.

Wie und wann wirkt das TADPF?

Das TADPF ist ein Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 DSGVO und gilt im Grunde ab sofort. Für Datenexport an US-amerikanische Empfänger sind daher keine zusätzlichen Legitimationsinstrumente, wie zum Beispiel Standard-Vertragsklauseln (SCC), mehr erforderlich, da die USA nun wieder als sicheres Drittland gelten. Allerdings müssen Unternehmen in den USA eine Selbstzertifizierung vornehmen und sich damit verpflichten, bestimmte Datenschutzverpflichtungen einzuhalten, um von den Wirkungen des TADPF profitieren zu können. Die Selbstzertifizierung gab es schon beim Vorgänger Privacy Shield und es wird sicher noch einige Tage dauern, bis die ersten Unternehmen zertifiziert sind. Der aktuelle Stand kann ab dem 17.07.2023 unter https://www.dataprivacyframework.gov/s/ eingesehen werden.

Es gilt hier also zunächst abzuwarten und bei Neuverträgen zu prüfen, ob der Datenempfänger bereits zertifiziert ist. Nur wenn dies der Fall ist, wirkt das TADPF.

Was passiert mit Verträgen, welche die SCC nutzen?

Bei bestehenden Verträgen sollte dann, wenn der Datenempfänger unter TADPF zertifiziert ist, geprüft werden ob eine Anpassung des Vertrages notwendig ist. Oft wird eine Anpassung gar nicht notwendig sein, weil die SCC nur nachrangig für den Fall gelten, dass ein Datenempfänger in einem Staat ohne Angemessenheitsbeschluss seinen Sitz hat. Wenn nun der Datenempfänger in den USA sitzt und eine TADPF Zertifizierung vorweisen kann, gelten bei dieser Konstellation die „normalen“ Regeln des Data Processing Agreements (DPA) und die SCC kommen schlicht nicht mehr zur Anwendung. Eine Anpassung des Vertrages ist dann nicht nötig.

Hat der Datenempfänger seinen Sitz in den USA und unterzieht sich nicht einer Zertifizierung nach TADPF, bleibt es bei den bisherigen Regelungen, also der Verwendung von SCC und der Durchführung eines Transfer Impact Assessment (TIA). Die Nutzung solcher Anbieter wird aber nicht allein dadurch ausgeschlossen, dass keine Selbstzertifizierung erfolgt.

Weiterer Anpassungsbedarf durch das TADPF

Das TADPF bzw. die Nutzung von Datenempfängern, welche dem TADPF unterliegen und die damit verbundene Umstellung des Transferinstruments von SCC auf TADPF, macht unter Umständen Anpassungen an Datenschutzhinweisen (Art. 13, 14 DSGVO), in AV-Verträgen, bei Datenschutz-Folgenabschätzungen und im Verarbeitungsverzeichnis notwendig. Hier müssen die Verantwortlichen ihre Dokumentation auf entsprechenden Anpassungsbedarf prüfen.

EuGH er­klärt mit Ur­teil in Sa­chen Schrems II den Pri­va­cy Shield Be­schluss für un­wirk­sam

1. Schrems II – Das Urteil

Mit Urteil vom 16.07.2020 (C-311/18) hat der EuGH über Vorlagefragen des Irischen High Courts in einem Rechtsstreit von Max Schrems gegen Facebook Ireland entschieden. Der EuGH erklärt das Privacy-Shield-Abkommen (genau genommen den entsprechenden Beschluss der EU-Kommission) zwischen der EU und den USA für Datenübermittlungen in die USA für unwirksam. Privacy-Shield stellt kein der DSGVO entsprechendes Datenschutzniveau sicher, da es insbesondere an einer wirksamen Durchsetzungsmöglichkeit für Betroffenenrechte in den USA fehlt.

Der EuGH äußert sich darüber hinaus auch zu den Standardvertragsklauseln (SCC), welche für die Übermittlung von Daten an Auftragsverarbeiter außerhalb der EU genutzt werden können und hält diese für grundsätzlich geeignet. Diese grundsätzliche Geeignetheit wird durch den EuGH allerdings dadurch eingeschränkt, dass die Parteien auch bei vereinbarten Standardvertragsklauseln sicherstellen müssen, dass wirksame Durchsetzungsmöglichkeiten für Betroffenenrechte bestehen. Dass dies insbesondere im Fall der USA und den dortigen Zugriffsrechten für Geheimdienste derzeit nicht der Fall ist, stellt der EuGH in seiner Urteilsbegründung ausdrücklich fest. Die Erwägungen dürften in dieser Form aber auch auf andere Staaten mit unzureichendem Schutz vor Zugriffen der nationalen Geheimdienste übertragbar sein. Der EuGH stellt zudem fest, dass es eine Aussetzungspflicht der Datenschutzbehörden gibt, wenn die Standardvertragsklauseln im Drittland nicht eingehalten werden oder nicht eingehalten werden können.

Damit ist derzeit offen, wie Datenübermittlungen in die USA unter der DSGVO rechtmäßig gestaltet werden können.

2. Keine Übergangsfrist für Privacy-Shield basierte Datentransfers

Wenn Unternehmen Datentransfers in die USA bisher allein auf eine Privacy Shield-Zertifizierung des amerikanischen Partners / Dienstleisters gestützt haben, sind diese Transfers ab sofort datenschutzrechtswidrig. Eine Übergangsfrist gibt es in diesem Zusammenhang nicht, da der EuGH den entsprechenden Kommissionsbeschluss zu Privacy Shield für unwirksam erklärt hat. Dies gilt sowohl für Übermittlungen an Dienstleister (Auftragsverarbeiter) als auch an Geschäftspartner und Gesellschaften innerhalb von Unternehmensgruppen oder Konzernen.

3. Reaktionen der Aufsichtsbehörden

Der EuGH macht in der Begründung seines Urteils deutlich, dass die zuständigen Aufsichtsbehörden verpflichtet sind, einen Datentransfer auch dann zu verbieten, wenn dieser auf Standardvertragsklauseln basiert, wenn diese im betroffenen Land nicht durchsetzbar sind.

Es ist daher wenig verwunderlich, dass beispielsweise die Berliner Beauftragte für Datenschutz und Informationsfreiheit bereits fordert, dass Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau wechseln sollen (https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf). Der Landesbeauftragte für Datenschutz in Baden-Württemberg hat in einem Interview in der FAZ ausgeführt, dass die europäischen Unternehmen und im Anschluss die einzelnen Datenschutzbehörden im Einzelfall prüfen müssen, ob die Standardvertragsklauseln ausreichen (https://zeitung.faz.net/faz/politik/2020-07-20/22ea53d809ccc61cfe25da3e213e61e6/?GEPC=s3). Andere Aufsichtsbehörden haben angekündigt sich zunächst abstimmen zu wollen. Diese Abstimmungen sollen insbesondere auch mit anderen europäischen Datenschutzbehörden erfolgen.

Unternehmen sollten hier unbedingt weitere Hinweise und etwaige Handlungsempfehlungen der Aufsichtsbehörden beachten und diese entsprechend bewerten.

4. Was müssen Unternehmen nun beachten?

Unternehmen, die personenbezogenen Daten in Drittstaaten übertragen, haben nun akuten Handlungsbedarf:

a) Identifizierung von Privacy-Shield basierten Datenflüssen

Basierend auf ihrem Verarbeitungsverzeichnis sollten Unternehmen prüfen, ob derzeit Datenflüsse allein auf Privacy Shield gestützt werden, also ohne dass (zusätzlich) Standardvertragsklauseln genutzt wurden. Wenn solche Datenflüsse vorhanden sind, sollten diese umgehend auf Standardvertragsklauseln oder eine ausdrückliche Einwilligung der Betroffenen umgestellt werden. Zu prüfen sind in diesem Zusammenhang insbesondere auch Standard-Tracking-, Marketing- und Kollaborationsdienste. Es muss in diesem Zusammenhang auch geprüft werden, inwieweit Anpassungen in Datenschutzhinweisen für Webseitenbesucher, Kunden, Lieferanten oder Mitarbeiter notwendig sind.

b) Prüfung von Datenflüssen die auf Standardvertragsklauseln basieren

Datentransfers in die USA oder andere Drittstaaten unter Standardvertragsklauseln sind weiterhin möglich, die Unternehmen müssen hier aber prüfen, ob im betreffenden Drittland das vom Unionsrecht verlangte Schutzniveau eingehalten wird. Wenn dies nicht der Fall ist, muss geprüft werden, ob der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann. Dabei muss die Prüfung immer die im konkreten Fall zu übermittelnden Daten und den konkreten Empfänger berücksichtigen. Denkbar sind hier beispielsweise der Einsatz von Verschlüsselungstechniken, bei denen der Schlüssel im Besitz des in der EU ansässigen Verantwortlichen bleibt, der Dienstleister also faktisch keine Möglichkeit der Entschlüsselung hat und daher bei Zugriff von Sicherheitsbehörden auch nur verschlüsselte Daten herausgeben könnte. Das heißt, es muss sich um eine echte Ende-zu-Ende-Verschlüsselung handeln, Transportverschlüsselungen sind nicht ausreichend. Unternehmen mit Sitz in der EU sollten in Verhandlungen mit Partnern versuchen, möglichst konkrete Informations- und Handlungspflichten für den Fall von Anfragen von Sicherheitsbehörden zu vereinbaren. Was die Reihenfolge der Prüfungen angeht, empfiehlt es sich den Verträgen Priorität einzuräumen, bei denen die Vertragspartner einschlägigen nationalen Überwachungsgesetzen unterliegen.

Bei neu abzuschließenden Verträgen muss geprüft werden, ob die Standardvertragsklauseln in unveränderter Form ausreichend sind, oder ob zusätzliche Maßnahmen getroffen werden müssen. Dabei ist zu beachten, dass der Text der Standardvertragsklauseln nicht verändert werden darf.

Die vorstehenden Erwägungen gelten auch bei Übermittlungen auf Basis von behördlich genehmigten sog. Binding Corporate Rules (BCR).

c) Datenflüsse, bei denen das Unternehmen selbst Auftragsverarbeiter ist

Wenn die Datenübermittlung in die USA im Rahmen einer Unterbeauftragung stattfindet, ist zu beachten, dass der Verantwortliche selbst und unmittelbar die Standardvertragsklauseln mit dem entsprechenden Unterauftragsverarbeiter in den USA abschließen muss. Viele Anbieter sind auf diese Anforderung bisher nicht eingestellt und es muss geprüft werden, wie diese Anforderung umgesetzt werden kann.

d) Einwilligung des Betroffenen

Ein Datentransfer in ein Drittland kann, wenn der Dienstleister keine Garantie für ein angemessenes Datenschutzniveau bietet, auch auf eine Einwilligung des Betroffenen gestützt werden. An die Einwilligung sind jedoch – nicht erst seit der BGH-Entscheidung zu Cookie Bannern – hohe Anforderungen zu stellen. So muss diese ausdrücklich erfolgen und der Verantwortliche muss über alle Risiken der Datenübermittlung informieren, also auch darüber, welches Risiko für seine Rechte und Freiheiten und welche Einschränkungen des Rechtsschutzes gegenüber der DSGVO und dem europäischen Recht bestehen. Dies muss aufgrund der Transparenz-Anforderungen sorgfältig umgesetzt werden.  

e) Nicht betroffene Datenflüsse

Datenübermittlungen auf Basis von Art. 49 DSGVO, zum Beispiel wenn diese zur Erfüllung eines Vertrages (oder Durchführung vorvertraglicher Maßnahmen) mit dem Betroffenen erforderlich sind und die weiteren Anforderungen der DSGVO erfüllt werden, bleiben zulässig. Dies umfasst zum Beispiel die Abwicklung von Aufträgen von Kunden oder Lieferanten mit Sitz in den USA, die Versendung von E-Mails in die USA oder die Buchungen bei amerikanischen Hotels. Das gleiche gilt für die Übermittlung von Mitarbeiterdaten im Konzern, soweit dies erforderlich ist und der internationale Bezug des Arbeitsverhältnisses bei Abschluss des Arbeitsvertrags bekannt war.

Für weitere Informationen und Rückfragen stehen wir gerne zur Verfügung.

  • Twitter
  • LinkedIn