Neues zum Datenschutzrecht
15.9.2023
DSK: Anwendungshinweise zum EU‐US Data Privacy Framework
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 4.9.2023 ihre Anwendungshinweise zum Angemessenheitsbeschluss der Europäischen Kommission zum Datenschutzrahmen EU‐USA (EU‐US Data Privacy Framework) veröffentlicht. Die Anwendungshinweise können Sie hier als pdf-Datei direkt herunterladen.
Mit den Anwendungshinweisen sollen die wesentlichen Hintergründe und Inhalte des neuen Angemessenheitsbeschlusses der Europäischen Kommission zum EU‐US Data Privacy Framework erläutert werden. Diese Hinweise richten sich sowohl an Verantwortliche und Auftragsverarbeiter in Deutschland, die personenbezogene Daten an die USA übermitteln, als auch an betroffene Personen. Die Anwendungshinweise beleuchten insbesondere die Reichweite und den Anwendungsbereich der Neuregelung, den Einsatz alternativer Instrumente für Übermittlungen an die USA wie z.B. Standardvertragsklauseln und Binding Corporate Rules sowie Umfang und Durchsetzung von Rechten betroffener Personen gegenüber Stellen in den USA.
Hintergrund
Die EU-Kommission hat am 10. Juli 2023 den Angemessenheitsbeschlusses für eine Datenverarbeitung in den USA im Rahmen des EU-U.S. Data Privacy Framework (DPF) gefasst. Der 134 Seiten umfassende Beschluss kann auf der Website der EU-Kommission oder direkt hier heruntergeladen werden (bislang nur in englischer Sprache verfügbar).
Zum Hintergrund des EU-US Privacy Shield – konkret der Rechtsprechung des Europäischen Gerichtshof (EuGH) und die Folgen in der Praxis für Übermittlungen personenbezogener Daten in die USA, aber auch in andere Drittländer hatte ich in den Datenschutz-News v. 14.7.2023 berichtet.
Eine Datenübermittlung an US-Unternehmen, die unter dem DPF zertifiziert sind, ist nunmehr (wieder) ohne zusätzliche Datenschutzgarantien möglich. Es ist jedoch zu beachten, dass das US-Unternehmen die Selbstzertifizierung vollständig durchlaufen hat und auch die zu übermittelnde Art der Daten tatsächlich umfasst ist. Hintergrund: Im Rahmen der Zertifizierung gibt es insoweit eine Differenzierung zwischen Beschäftigtendaten und sonstigen personenbezogenen Daten. Ob diese Voraussetzungen vorliegen, kann durch einen Abgleich mit der öffentlich zugänglichen Datenbank des U.S. Department of Commerce erfolgen, die Sie hier finden.
Fazit
Die Anwendungshinweise geben in komprimierter Form einen guten Überblick zum EU‐US Data Privacy Framework sowie alternative Grundlage für einen Datentransfer in die USA wie z.B. Standardvertragsklauseln. Letztere werden immer dann relevant, wenn es sich bei dem Empfänger der Daten um kein Unternehmen handelt, dass unter dem EU-US Data Privacy Framework zertifiziert ist und der Angemessenheitsbeschluss daher nicht als Grundlage für eine Datenübermittlung in die USA herangezogen werden kann.
Wichtig ist hierbei, dass nach Aussage der EU-Kommission die von der US-Regierung im Bereich der nationalen Sicherheit implementierten Schutzmaßnahmen einschließlich des Rechtsbehelfsverfahrens für alle Datenübermittlungen unabhängig von dem verwendeten Instrument gem. Art. 45 ff. DSGVO gelten (siehe European Commission (Hrsg.), Questions & Answers: EU-US Data Privacy Framework, Stand 10.7.2023, Frage 7). Deshalb können die von der EU‐Kommission im Angemessenheitsbeschluss ausgeführten Bewertungen im Transfer Impact Assessment berücksichtigt werden, was laut Abschnitt IV.2 der DSK-Anwendungshinweise auch von den deutschen Datenschutzaufsichtsbehörden explizit anerkannt wird.
Sollten Sie Fragen zur Datenübermittlung in die USA oder andere Drittländer oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht