Dienstag, 27. Februar 2024

Das EU-U.S. Date Privacy Framework  

Was lange währt, wird endlich gut. Dieses Motto gilt hoffentlich für das EU-U.S. Data Privacy Framework. Sie kennen dieses Stichwort noch gar nicht?

Date Privacy Framework


Es geht um eine neue Rechtsgrundlage für Datenübermittlungen in die USA. Dabei gilt es einige Fallstricke zu beachten.

Der 16. Juli 2020 weckt böse Erinnerungen

Der 16. Juli 2020 war für alle Unternehmen, die auf Datenübermittlungen in die USA angewiesen sind, ein schwarzer Tag. Denn damals erklärte der Europäische Gerichtshof (EuGH) den Angemessenheitsbeschluss der EU-Kommission zum „Privacy Shield“ für nichtig.  Von diesem Tag an konnten Unternehmen Datenübermittlungen in die USA nicht mehr auf den Angemessenheitsbeschluss als Rechtsgrundlage stützen. Das war schmerzlich, denn Datenübermittlungen auf seiner Basis verursachten nur einen geringen rechtlichen Aufwand. Alle denkbaren Alternativen, auf die sie von da an zurückgreifen mussten, waren für die Unternehmen dagegen zum Teil mit wahren Papierbergen verbunden.

Der rechtliche Schwebezustand hat jetzt vorerst ein Ende


Seit dem 10. Juli 2023 gibt es wieder einen Angemessenheitsbeschluss der EU Kommission, den Unternehmen für Datenübermittlungen in die USA nutzen können.  Darin ist festgehalten, dass unter bestimmten Bedingungen in den US-Unternehmen ein angemessenes Datenschutzniveau herrscht. Wohlgemerkt: unter bestimmten Bedingungen. Aber wenn sie erfüllt sind, funktioniert wieder alles so, wie man es vor dem 16. Juli 2020 mit dem „Privacy Shield“ gewohnt war.  Unternehmen in der EU können also wieder personenbezogene Daten an ihre US-Geschäftspartner übermitteln, ohne dafür umfangreiche Mzusätzliche Datenschutzregelungen vereinbaren zu müssen.

Der Jubel ist trotzdem eher verhalten


Die neuen Regelungen wurden in der Wirtschaft dankbar registriert. Immerhin bringen sie erhebliche Erleichterungen für den „Datenschutzalltag“.  Echte Begeisterung spürt man allerdings nur selten. Eher herrscht eine gewisse Skepsis, was die Zukunft der neuen Regelungen angeht.  Über kurz oder lang wird es auf irgendeinem Weg dazu kommen, dass der EuGH auch sie rechtlich überprüft. Werden sie dann Bestand haben?

Die neuen Regelungen werden bis auf Weiteres tragfähig sein


So verständlich solche Befürchtungen sind – im Augenblick helfen die neuen Regelungen wirklich weiter. Das Grundschema, nach dem sie funktionieren, ist relativ einfach: US-Unternehmen können sich in den USA in eine Art Datenschutzregister eintragen lassen.  Es trägt die Bezeichnung „Data Privacy Framework List“. Dazu müssen sie ziemlich viele Voraussetzungen erfüllen. So müssen etwa ausreichende Datensicherungsmaßnahmen vorhanden sein. Wenn ein US-Unternehmen diesen Zertifizierungsprozess erfolgreich abgeschlossen hat, können sich seine Geschäftspartner in der EU darauf verlassen, dass in diesem US-Unternehmen ein angemessenes Datenschutzniveau herrscht. Das bildet die rechtliche Basis dafür, dass die Übermittlung personenbezogener Daten dorthin zulässig ist.

Für Personaldaten gelten Besonderheiten


Die Frage, ob auf dieser Basis auch eine Übermittlung von Personaldaten zulässig ist, lautet: „Ja, aber …“. Die Übermittlung solcher Daten an ein US-Unternehmen setzt voraus, dass dieses Unternehmen zusätzliche Verpflichtungen eingeht. Dazu gehört insbesondere die Verpflichtung, mit den Datenschutz-Aufsichtsbehörden in der EU zusammenzuarbeiten.

Die Zertifizierung ist jedes Jahr zu erneuern


US-Unternehmen, die auf der „Data Privacy Framework List“ stehen, müssen ihre Zertifizierung jedes Jahr erneuern lassen.  Sonst werden sie von der Liste gestrichen. Deshalb müssen sich ihre Geschäftspartner in der EU jedes Jahr vergewissern, dass die Zertifizierung erneuert wurde.  Im Augenblick richten alle betroffenen Unternehmen in der EU die dafür nötigen Abläufe ein, wenn sie nicht ohnehin schon vorhanden sind.

Microsoft 365 bleibt eine Herausforderung


Viele Unternehmen hatten gehofft, dass der neue Angemessenheitsbeschluss alle vorhandenen Probleme bei Datenübermittlungen in die USA löst.  Dies galt besonders für den Einsatz von Microsoft 365. Hier gießen jedoch die ersten Aufsichtsbehörden für den Datenschutz schon wieder Wasser in den Wein. Sie verweisen darauf, dass bei Microsoft 365 weiterhin unklar sei, welche Daten Microsoft in den USA verarbeitet und was dabei geschieht. Ob diese Behauptung zutrifft, sei dahingestellt. Dass der neue Angemessenheitsbeschluss nicht von der Pflicht befreit, die Datenverarbeitung transparent zu gestalten, steht auf alle Fälle fest. Sofern es Unklarheiten gibt, bietet der Angemessenheitsbeschluss keine Hilfe. Hier gilt es also weiterhin, Lösungen zu finden.

Benötigen Sie dennoch Hilfe? Kein Problem!

  Jetzt Kontakt aufnehmen