EU-US-Data-Privacy-Framework: Eine erste Checkliste

Das EU-US-Data-Privacy-Framework (EU-US DPF) funktioniert ähnlich wie die früheren Auflagen von Datenschutzabkommen zwischen der EU und den USA. US-Unternehmen müssen sich registrieren lassen und sich auf die Einhaltungen der Bestimmungen des EU-US-Data-Privacy-Frameworks verpflichten.

Die US-Handelsbehörde (Federal Trade Commission – FTC) veröffentlicht zukünftig eine Liste der zertifizierten US-Unternehmen. Unternehmen, die nicht gelistet sind, können das EU-US-Data-Privacy-Framework nicht nutzen, auch wenn dies eventuell in Verträgen anderslautend zugesagt wird.

Unsere Checkliste soll Sie dabei unterstützen, das EU-US-Data-Privacy-Framework richtig zu nutzen.

Prüfen Sie, ob das Unternehmen, mit dem Sie zusammenarbeiten wollen, bei der US-Handelsbehörde als zertifiziert gelistet wird. Ist das Unternehmen nicht aufgeführt, müssen Sie entweder andere Rechtsmittel nutzen oder einen alternativen zertifizierten Dienstleister einsetzen.

Prüfen zu zudem, ob die Zertifizierung sachlich zu Ihrem Anwendungsfall (z. B. Art der Daten, Art der Dienstleistung) passt.

Wenn Sie mit einem europäischen Unternehmen einen Vertrag schließen und in der Subunternehmerkette ein Datentransfer in die USA möglich ist, prüfen Sie auch hier, ob die jeweiligen Subunternehmer zertifiziert und gelistet sind. Wenn nicht, dann sind auch hier andere Rechtsmittel erforderlich, um eine Datenübermittlung in die USA oder einen Datenzugriff aus den USA rechtlich zu legitimieren.

Wir empfehlen immer zusätzlich zu dem Einsatz des EU-US-Data-Privacy-Frameworks auch einen Vertrag nach den EU-Standard-Vertragsklauseln abzuschließen.

Stellen Sie sicher, dass Sie alle erforderlichen Maßnahmen zum Schutz der Daten über allen Übermittlungswege, bei der Speicherung und weiteren Verarbeitung getroffen haben. Prüfen Sie vor Beginn der Datenverarbeitung, besser noch vor der finalen Entscheidung für einen bestimmten Dienstleister, ob die Schutzmaßnahmen dem aktuellen Stand der Technik entsprechen und wirksam umgesetzt sind. Überprüfen Sie auch angebotene Zertifizierungen auf Gültigkeit und vertrauen Sie nicht nur auf Werbeaussagen. Alle relevanten Schutzmaßnahmen sollten Bestandteil der vertraglichen Vereinbarung und somit Vertrags- und Leistungspflicht für den Dienstleister sein.

Das EU-US-Data-Privacy-Framework stellt lediglich eine mögliche Rechtsgrundlage dar, um den Datentransfer von einem europäischen Mitgliedsstaat in die USA rechtlich zu legitimieren. Einfach ausgedrückt: Sie erfüllen damit eine Exportbestimmung. Daneben ist es erforderlich, dass Sie – so wie immer im Datenschutz – eine Rechtsgrundlage für die eigentliche Datenverarbeitung besitzen. Denken Sie sich kurz das USA-Thema und Ihren IT-Dienstleister oder Cloud-Arbeiter weg. Was ist die Rechtsgrundlage, aufgrund derer Sie die betroffenen personenbezogenen Daten verarbeiten dürfen (z. B. Vertrag mit der betroffenen Person oder eine Einwilligungserklärung)? Diese Rechtsgrundlage benötigen Sie weiterhin zusätzlich, wenn Sie Daten in die USA übermitteln. Weitere Erläuterungen hierzu finden Sie hier auf den Seiten des LDI NRW.

Prüfen Sie bereits bei der Planung und der Konzeption Ihrer Datenverarbeitung und der Zusammenarbeit mit externen Dienstleistern, ob alle erforderlich rechtlichen, technischen und organisatorischen Anforderungen erfüllt werden. Hierzu gehören unter anderem Erforderlichkeit, Zweckbindung, Datensparsamkeit oder Erfüllung der Betroffenenrechte. Denken Sie aber auch bei Ihrer Planung daran, dass Daten früher oder später wieder gelöscht werden müssen (Löschkonzept). Holen Sie sich ggf. externen Rat ein, um die Anforderungen zu ermitteln und die Umsetzung zu prüfen.

Prüfen Sie, ob Sie in Ihren Datenschutzerklärungen über den Datentransfer in die USA (siehe Art. 13 Abs. 1 lit. f) DS-GVO) ausreichend informiert haben und ggf. die weiteren Empfänger oder Empfängerkategorien ausgewiesen sind (siehe Art. 13 Abs. 1 lit. e) DS-GVO).

Aktuell gibt es einen Entwurf für einen Angemessenheitsbeschluss der Europäischen Kommission. Das Europäische Data Protection Board (EDPB, bzw. deutsch: Europäischer Datenschutzausschuss (EDSA)) hat inzwischen seine Stellungnahme zum EU-US-Data-Privacy-Framework verabschiedet und hier darüber informiert.

Die Stellungnahme ist deutlich positiver als erwartet und lobt mehrheitlich die neuen Rahmenbedingungen. Es gibt aber auch noch Bedenken.

“Diese betreffen insbesondere die Rechte der betroffenen Personen (z. B. einige Ausnahmen vom Auskunftsrecht und den Zeitplan und die Modalitäten für das Widerspruchsrecht), das Fehlen wichtiger Definitionen, die mangelnde Klarheit in Bezug auf die Anwendung der Datenschutzgrundsätze auf Auftragsverarbeiter und die weit gefasste Ausnahme für öffentlich zugängliche Informationen”
(aus dem englischen Original übersetzt)

Zu den weiteren Schritten gehört danach noch die Zustimmung der EU-Mitgliedsstaaten. Laut mehrerer Literaturmeinungen wird vermutet, dass innerhalb des zweiten Quartals 2023 ein wirksamer Angemessenheitsbeschluss vorliegen könnte.