Seit 2020 müssen sich alle Unternehmen, die Daten in die Vereinigten Staaten übermitteln (beispielsweise durch Cloud-Lösungen oder Web-Apps) tiefergehende Gedanken machen, ob diese Übermittlung tatsächlich stattfinden darf. Grund hierfür war, dass der europäische Gerichtshof (EuGH) das Datenschutzniveau in den Vereinigten Staaten für als nicht ausreichend erachtet hat und somit den Angemessenheitsbeschluss der europäischen Kommission, dem das „Privacy Shield“ Abkommen zugrunde lag, kippte.
Seit dieser Zeit sind Datentransfers nur aufgrund von so genannten Standardvertragsklauseln (SVK) möglich, und auch diese nur wenn eine sog. „Transfer Impact Assessment“ (TIA) stattgefunden hat. Gerade für kleine und mittelständische Unternehmen waren diese Anforderungen enorm.
Hintergrund: Angemessenheitsbeschluss – was ist das?
Noch einmal zum Hintergrund: Der Datentransfer in Drittstaaten benötigt, neben der eigentlichen Rechtsgrundlage für eine Weitergabe von Daten (beispielsweise einer Einwilligung), eine Grundlage. Diese stellt sicher, dass das nicht in der EU befindliche Drittland, ein ähnlich hohes Datenschutzniveau aufweist, wie der EU-Raum. Der einfachste Weg um eine solche Garantie nachzuweisen ist die Bezugnahme auf einen so genannten Angemessenheitsbeschluss der EU Kommission (Art. 45 DSGVO). Bei einem solchen Angemessenheitsbeschluss prüft die europäische Kommission, ob ein angemessenes Datenschutzniveau in einem Drittland vorliegt (https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en). Ist dies der Fall wird ein solcher Beschuss veröffentlicht und der Transfer von Daten ist grundsätzlich möglich.
Da die Vereinigten Staaten schon zweimal vom europäischen Gerichtshof als nicht sicheres Drittland identifiziert wurden, hat sich die europäische Kommission ein weiteres Mal in vertiefte Verhandlungen mit den Vereinigten Staaten begeben. Herausgekommen ist am 14.07.2023 das so genannte Transatlantic Data Privacy Framework (TADPF) welches der Nachfolger des Privacy-Shield-Abkommens ist.
Folgen für Unternehmen
Zusammengefasst kann man seit dem 14. Juli den Datentransfer in die USA (genauer zu Unternehmen, die in den USA liegen) unter bestimmten Voraussetzungen auf diesen Angemessenheitsbeschluss der europäischen Union gemäß Art. 45 stützen. Diese Erleichterung wird spürbar zu einer Verringerung der Komplexität bei der Beurteilung von Datentransfers führen. Im Endeffekt wird es in der Beratung leichter werden zu beurteilen,ob eine Applikation oder ein Webdienst genutzt werden kann oder nicht.
Voraussetzung für die Anwendbarkeit des Angemessenheitsbeschlusses, ist dass das entsprechende Unternehmen Ein (Selbst-)Zertifizierungsverfahren durchlaufen hat. Die Liste der Unternehmen, die dieses Verfahren durchlaufen hat ist unter dem folgenden Link einsehbar.
https://www.dataprivacyframework.gov/s/participant-search
Hierbei ist zu beachten, dass die Unternehmen in zwei Kategorien eingeteilt werden: solche, die auch bei der Verarbeitung von HR Daten (also Mitarbeiterdaten) ein angemessenes Datenschutzniveau nachweisen können. Und solche die nur für den allgemeinen Datentransfer ein angemessenes Datenschutzniveau besitzen. Die Unterscheidung ist in der Tabelle durch den Zusatz „HR“ in der Rubrik „Covered Data“ zu erkennen.
Alle Unternehmen, die bereits nach dem Privacy-Shield zertifiziert waren, wurden auf diese Liste übernommen.
Weiteres Vorgehen
In den nächsten Wochen und Monaten wird es notwendig sein die Zertifizierung der eingesetzten US-Dritt-Anbieter zu überprüfen. Sollte ein Anbieter nicht von einer solchen Zertifizierung Gebrauch machen, so ist es möglicherweise durch den Angemessenheitsbeschluss weiterhin einfacher geworden die Grundlage des Datentransfer es auf Standardvertragsklauseln (SVK) gem. Art. 46 zu stützen. Der Angemessenheitsbeschluss manifestiert nun, dass das Datenschutzniveau in den USA ausreichend ist. Man muss in diesem Fall separat mit dem betreffenden Unternehmen Klauseln Vereinbaren, die die geschaffenen Rechtsgarantien auch im betreffenden Vertragsverhältnis garantieren. Dies geschieht durch SVKs.
Insgesamt werden wir mit unseren Mandanten die Anpassung der entsprechenden Klauseln in den Datenschutzhinweisen prüfen und im Rahmen der Audits diese Änderung der Rechtslage besprechen.
Recent Comments