Am 10.07.2023 ist der Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten, der als Grundlage f\u00fcr Daten\u00fcbermittlung an zertifizierte Organisationen in die USA dienen kann.<\/p>\n
Damit soll die bisher kritisch begutachtete Daten\u00fcbertragung nach den USA abgesichert werden.<\/p>\n
Vorab aber dazu eine kurze Entstehungsgeschichte des EU\u2010US Data Privacy Framework um die Einordnung zu erleichtern.<\/p>\n
Der Europ\u00e4ische Gerichtshof (EuGH) erkl\u00e4rte 2015 und 2020 in den sog. \u201eSchrems I\u201c\u2010 und \u201eSchrems II\u201c\u2010Urteilen zwei fr\u00fchere Angemessenheitsbeschl\u00fcsse f\u00fcr zertifizierte Stellen in den USA (\u201eSafe Harbor\u201c sowie \u201ePrivacy Shield\u201c) aufgrund unverh\u00e4ltnism\u00e4\u00dfiger Zugriffsbefugnisse der US\u2010Sicherheitsbeh\u00f6rden und unzureichender Rechtsschutzm\u00f6glichkeiten f\u00fcr betroffene Personen f\u00fcr ung\u00fcltig.<\/p>\n
Dies lag zu einem sehr gro\u00dfen Teil an den Offenlegungen, dass US\u2010Sicherheitsbeh\u00f6rden systematisch und massenhaft auf personenbezogene Daten von EU\u2010B\u00fcrgerinnen und EU\u2010B\u00fcrgern zugreifen. Damit wurden die Grunds\u00e4tze der Besagten gravierend verletzen. Daraufhin erkl\u00e4rte der EuGH im Oktober 2015 in der sog. \u201eSchrems I\u201c\u2010Entscheidung den \u201eSafe Harbor\u201c\u2010Angemessenheitsbeschluss der Europ\u00e4ischen Kommission f\u00fcr ung\u00fcltig.<\/p>\n
Der nachfolgende Angemessenheitsbeschluss, der auf das sog. \u201ePrivacy Shield\u201c beruhte, wurde aus \u00e4hnlichen Gr\u00fcnden durch das Urteil des EuGH s am 16. Juli 2020 ebenfalls hinf\u00e4llig.<\/p>\n
I. Das Problem der \u00dcbermittlung an sog. unsichere Drittl\u00e4nder <\/u><\/p>\n
Problematisch seit dem war, dass es sich auch beim Einr\u00e4umen einer faktischen Zugriffsm\u00f6glichkeit aus dem Drittland (beispielsweise f\u00fcr administrative oder Supportzwecke) um eine \u00dcbermittlung nach Drittl\u00e4ndern handeln kann. Die seitdem von US-Dienstleistern angef\u00fchrten Server innerhalb der EU, auf denen die personenbezogenen Daten von EU-B\u00fcrgern\u00a0 abgespeichert wurden, waren daher, genauso wie die vertragliche (nicht realistisch erf\u00fcllbare) Garantie, die Datenverarbeitung auf EU-L\u00e4nder zu beschr\u00e4nken, datenschutzrechtlich gesehen, h\u00e4ufig irrelevant .<\/p>\n
Als L\u00f6sung sollten die von der Europ\u00e4ischen Kommission verfassten Standardvertragsklauseln f\u00fcr die \u00dcbermittlung personenbezogener Daten an Drittl\u00e4nder dienen.<\/p>\n
Diese wurden allerdings auch von vielen als nicht ausreichend bewertet, aus Gr\u00fcnden, die bereits anderorts in erheblicher Breite und Tiefe diskutiert wurden und deswegen hier nicht wiederholt werden sollen.<\/p>\n
Dieses Problem soll aber nun mit dem EU\u2010US Data Privacy Framework abgeschafft worden sein.<\/p>\n
Wichtig zu merken ist, dass der Angemessenheitsbeschluss zum EU\u2010US DPF lediglich sektoral ist. Dies bedeutet, er erfasst nur Daten\u00fcbermittlungen an teilnehmende US\u2010Organisationen. Hier handelt es sich eben nicht um einen umfassenden Angemessenheitsbeschluss f\u00fcr die gesamten USA.<\/p>\n
Datenexporteure m\u00fcssen daher pr\u00fcfen, ob ihre geplanten Daten\u00fcbermittlungen in den Anwendungsbereich des Beschlusses fallen und damit auf Grundlage dieses \u00dcbermittlungsinstrumentes vorgenommen werden k\u00f6nnen.<\/p>\n
II. Wer kann sich zertifizieren lassen? Wie wird zertifiziert?
\n<\/u><\/p>\n
Eine Selbstzertifizierung unter dem EU\u2010US DPF ist jeder US\u2010Organisationen, die der Aufsicht der Federal Trade Commission (FTC, eine US\u2010Bundesbeh\u00f6rde, die f\u00fcr Wettbewerbskontrolle sowie Verbraucherschutz zust\u00e4ndig ist) oder des US Department of Transportation (DOT, US\u2010Verkehrsministerium) unterliegen, m\u00f6glich.
\nZuk\u00fcnftig k\u00f6nnen gegebenenfalls weitere Zust\u00e4ndigkeiten hinzukommen.
\nBislang steht eine Zertifizierung jedoch nur Unternehmen offen, welche einer der genannten aufsichtsbeh\u00f6rdlichen Zust\u00e4ndigkeiten unterliegen.<\/p>\n
F\u00fcr die Aufnahme der Zertifizierung in die Liste des US\u2010Handelsministeriums (US Department of Commerce, DOC) bestehen bestimmte Voraussetzungen.
\nDem Handelsministerium m\u00fcssen unter anderem bestimmte 25 Informationen \u00fcbermittelt werden:
\n\u2022 den Namen der betreffenden US\u2010Organisation (US\u2010Unternehmen oder US\u2010Tochtergesellschaften),
\n\u2022 den Zweck, zu dem die Organisation personenbezogene Daten verarbeiten wird,
\n\u2022 die Kategorie der personenbezogenen Daten, die von der Zertifizierung erfasst werden,
\n\u2022 die gew\u00e4hlte \u00dcberpr\u00fcfungsmethode,
\n\u2022 den einschl\u00e4gigen unabh\u00e4ngigen Regressmechanismus und
\n\u2022 die f\u00fcr die Durchsetzung der Grunds\u00e4tze zust\u00e4ndigen gesetzlichen Stelle.<\/p>\n
Werden s\u00e4mtliche Anforderungen nach \u00dcberpr\u00fcfung durch das Handelsministerium erf\u00fcllt, erkl\u00e4ren die jeweiligen US\u2010Organisationen \u00f6ffentlich, dass sie sich zur Einhaltung der Vorgaben des EU\u2010US DPF verpflichten, ihre Datenschutzrichtlinien zur Verf\u00fcgung zu stellen und diese vollst\u00e4ndig umsetzen.<\/p>\n
Zur \u00dcberpr\u00fcfung wird eine \u201eData Privacy Framework List\u201c ver\u00f6ffentlicht, welche diejenigen US\u2010Organisationen auflistet, die ihre Selbstzertifizierung unter dem EU\u2010US DPF abgeschlossen haben.<\/p>\n
Nur \u00dcbermittlungen an dort aufgelistete US\u2010Organisationen k\u00f6nnen auf den EU\u2010US DPF gest\u00fctzt werden. Es sollte also vor dem Eingehen eines jeweiligen Vertragsverh\u00e4ltnisses eine \u00dcberpr\u00fcfung erfolgen, ob die jeweilige US-Organisation eine entsprechend g\u00fcltige Zertifizierung besitzt.<\/p>\n
Auf Grundlage des EU\u2010US DPF, k\u00f6nnen personenbezogene Daten ab dem Zeitpunkt, zu welchem die Organisation auf der entsprechenden Liste aufgezeigt wird, \u00fcbermittelt werden.<\/p>\n
Zum Erhalt der Zertifizierung erfolgt eine j\u00e4hrliche \u201eNeu\u2010Zertifizierung\u201c mit Verpflichtungserkl\u00e4rungen gegen\u00fcber dem Handelsministerium und einer erneuten Pr\u00fcfung durch dieses.<\/p>\n
Die FTC, deren Zust\u00e4ndigkeit in 15 U.S.C. \u00a7 45 geregelt ist, weist auf Bereiche hin, in welchen sie keine bzw. nur eingeschr\u00e4nkte Zust\u00e4ndigkeiten hat.<\/p>\n
Sollte der Datenexporteur daher \u00dcbermittlungen in diesen Bereichen planen, kann dies evtl. nicht auf Grundlage des Angemessenheitsbeschlusses zum EU\/US DPF erfolgen. Betroffen sind insbesondere die Betreiber \u00f6ffentlicher Telekommunikationsnetze, das Versicherungsgewerbe und der Bankensektor. Hier muss der Datenexporteur genau pr\u00fcfen, ob der Datenimporteur auf der EU\/US\/DPF \/Liste gelistet wurde.<\/p>\n
III.\u00a0 Welche \u00dcbermittlungen sind erfasst?<\/u><\/p>\n
Auf Grundlage des EU\u2010US DPF k\u00f6nnen nahezu alle \u00dcbermittlungen personenbezogener Daten aus der EU sowie dem EWR an US\u2010Organisationen, die aufgrund ihrer Zertifizierung zum EU\u2010US DPF in der EU\u2010US\u2010DPF\u2010Liste gelistet sind, erfolgen.<\/p>\n
Allerdings sind keine Daten\u00fcbermittlungen von Stellen au\u00dferhalb der EU (EWR), welche der DS\u2010GVO gem. Art. 3 Abs. 2 DS\u2010GVO unterfallen, an Organisationen in den USA, welche in der EU\u2010US\u2010DPF\u2010Liste, aufgelistet sind, vom Angemessenheitsbeschluss umfasst. Zudem gilt eine \u201ejournalistische Ausnahme\u201c f\u00fcr Daten im Zusammenhang mit journalistischer Aktivit\u00e4t und Medienarchiven. Diese Daten k\u00f6nnen nicht auf Grundlage des EU\u2010US DPF \u00fcbermittelt werden.<\/p>\n
Bei Besch\u00e4ftigtendaten, welche im Besch\u00e4ftigungskontext \u00fcbermittelt werden, muss vorher gepr\u00fcft werden, ob die Zertifizierung sich tats\u00e4chlich auch auf diese spezielle Datenart bezieht, da die Zertifizierung diese, nach unserer Ansicht, nicht zwingend erfasst.<\/p>\n","protected":false},"excerpt":{"rendered":"
Am 10.07.2023 ist der Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten, der als Grundlage f\u00fcr Daten\u00fcbermittlung an zertifizierte Organisationen in die USA dienen kann. Damit soll die bisher kritisch begutachtete Daten\u00fcbertragung nach den USA abgesichert werden. Vorab aber dazu eine kurze Entstehungsgeschichte des EU\u2010US Data Privacy Framework um die Einordnung zu erleichtern. Der … <\/p>\n