Geschrieben am 21.08.2023 von:
Alle haben ihn sehnlichst erwartet – den neuen Angemessenheitsbeschluss der EU-Kommission für das „EU-U.S. Data Privacy Framework“. Am 10.07.2023 hat die Europäische Kommission dem Nachfolger des „Privacy Shield“ endlich ein angemessenes Schutzniveau bescheinigt. Bereits im vergangenen Jahr hatte US-Präsident Biden mit einer Executive Order zum Datentransfer zwischen den USA und der EU den Startschuss gegeben.
Jetzt ist also alles wieder erlaubt – Google Analytics, Microsoft 365 & Co., oder?
Hintergrund – Was ist ein Angemessenheitsbeschluss?
Möchtest du oder dein Unternehmen personenbezogene Daten in ein sogenanntes Drittland –also einen Staat außerhalb des Europäischen Wirtschaftsraums (EWR) – übermitteln, musst du zunächst die Hürden der Art. 44 ff. DS-GVO überwinden.
Der Gesetzgeber möchte damit sicherstellen, dass das von der Datenschutz-Grundverordnung vorgeschriebene Schutzniveau auch dann gewahrt bleibt, wenn die Daten in ein Land gelangen, in dem andere Gesetze mit einem möglicherweise geringeren Datenschutzniveau Anwendung finden.
Einige Staaten (oder bestimmte Sektoren oder Gebiete) hat die Europäische Kommission bereits überprüft und auf dieser Grundlage entschieden, dass personenbezogene Daten in dem jeweiligen Staat ein angemessenes Schutzniveau genießen, das mit dem der Datenschutz-Grundverordnung vergleichbar ist. Diese Entscheidung wird als Angemessenheitsbeschluss bezeichnet. Liegt ein solcher Angemessenheitsbeschluss vor, sind zunächst keine weiteren Maßnahmen erforderlich, um die Zulässigkeit der Drittstaatenübermittlung sicherzustellen. Die Daten dürfen dann fließen, ohne dass weitere Übermittlungsinstrumente oder zusätzliche Maßnahmen erforderlich sind.
Beabsichtigst du, Daten in ein Drittland zu transferieren, für das kein solcher Angemessenheitsbeschluss vorliegt, liegt es weitestgehend in deiner Verantwortung bzw. in der Verantwortung des Unternehmens durch sogenannte geeignete Garantien ein angemessenes Datenschutzniveau bei der Verarbeitung im Drittland sicherzustellen.
Zu den gängigsten Garantien gehört der Abschluss der Standarddatenschutzklauseln der EU-Kommission. Dabei handelt es sich um vertragliche Vereinbarungen, die mit einem Unternehmen in einem Drittland geschlossen werden können und die dazu führen, dass sich das Unternehmen in dem Drittland zur Einhaltung eines angemessenen Datenschutzniveaus verpflichtet.
Das Problem bei Verträgen ist jedoch, dass sie ausschließlich zwischen den Vertragsparteien gelten und Gesetze nur bedingt aushebeln können. Deshalb sehen die Standarddatenschutzklauseln zusätzlich vor, dass die übermittelnde Stelle (hier also z.B. dein Unternehmen) prüft, ob im Drittland ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet ist.
Man muss sich also mit der Rechtslage und der Behördenpraxis des Landes auseinandersetzen und dies in einem sogenannten Transfer Impact Assessment dokumentieren. Kommt man zu dem Ergebnis, dass es um den Datenschutz nicht so gut bestellt ist (wie z.B. in den USA), muss man Maßnahmen ergreifen, um dies „auszugleichen“, indem man z.B. das Risiko eines behördlichen Zugriffs durch die Maßnahmen minimiert – eine ganz schöne Herausforderung.
Und damit zurück in die USA: Bisher musste man, seit der Europäische Gerichtshof im Juli 2021 das Privacy Shield gekippt hat, diesen ganzen Aufwand betreiben, wenn man Daten sicher in die USA übertragen wollte, weil man zum Beispiel die Dienste amerikanischer Dienstleister wie Google oder Microsoft genutzt hat. Seit dem 10.07.2023 hat sich die Situation diesbezüglich entspannt. Personenbezogene Daten dürfen nun an jedes Unternehmen in den USA, das sich nach dem EU-U.S. Data Privacy Framework hat zertifizieren lassen, übermittelt werden. Die Liste der zertifizierten Unternehmen findest du hier.
Doch leider ist es gut möglich, dass diese Rechtslage nicht lange Bestand haben wird: NOYB, eine Nichtregierungsorganisation, hat bereits angekündigt, dass das EU-U.S. Data Privacy Framework gerichtlich überprüft werden soll.
Außerdem haben sich bereits Aufsichtsbehörden „warnend“ geäußert – wie z. B. der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit zum Thema Microsoft 365. In seiner Pressemitteilung vom 14.07.2023 heißt es, es gebe „keinen Grund zur Euphorie“, da der Einsatz von Microsoft 365 an Schulen dadurch immer noch nicht rechtskonform möglich sei.
Möchtest du wissen, wie man Microsoft 365 rechtssicher in Unternehmen einführen kann? Dann schau dir doch unser Whitepaper an oder kontaktiere uns direkt!
Natürlich müssen auch alle anderen datenschutzrechtlichen Verpflichtungen weiterhin erfüllt werden. Denke insbesondere daran, deine Datenschutzhinweise und Verarbeitungsverzeichnisse im Hinblick auf die Übermittlung in Drittländer zu aktualisieren.
Über den Tellerrand hinaus und noch viel weiter – Es gibt mehr als die USA
Die Verpflichtungen aus Art. 44 ff. DS-GVO betreffen nicht nur die USA – auch wenn dies der relevanteste Fall sein dürfte. Betroffen ist jeder Drittstaat außerhalb des EWR. Angemessenheitsbeschlüsse der EU-Kommission liegen derzeit unter anderem für die USA, Großbritannien, die Schweiz, Japan, Südkorea und Kanada vor. Für alle anderen Drittstaaten müssen weiterhin andere Übermittlungsinstrumente genutzt werden.