Neues EU-US Datenschutzrahmenabkommen
Am 10. Juli 2023 hat die Europäische Kommission die Angemessenheitsentscheidung in Bezug auf das EU-US "Data Privacy Framework" (DPF) erlassen. Es handelt sich hierbei um den dritten Versuch, sichere und vertrauenswürdige Datentransfers für Personendaten zwischen der EU und den USA zu etablieren. Das Vorgängerprogramm, das EU-US Privacy Shield, wurde im Juli 2020 durch die Entscheidung Schrems II des Europäischen Gerichtshofs (EuGH) für ungültig erklärt. Das neue EU-US DPF sieht vor, dass die Vereinigten Staaten ein angemessenes Schutzniveau bieten - vergleichbar mit dem der Europäischen Union - wenn sich die Parteien eines Datentransfers an das DPF halten.
Warum wurde das DPF eingerichtet?
Das Datenschutzrahmenabkommen wurde entwickelt, um den Datentransfer zwischen den USA und der EU zu erleichtern. Ein koordinierter Ansatz für die Herausforderungen des sich verändernden digitalen Marktplatzes und datenintensiven Geschäftsmodelle wird immer wichtiger. Das EU-US DPF soll sicherstellen, dass Personendaten fair gesammelt, für einen bestimmten Zweck verwendet und nur in dem Umfang genutzt werden, der mit dem Zweck der Bearbeitung kompatibel ist.
Das Rahmenabkommen zielt hauptsächlich darauf ab, die Bürgerrechte zu schützen, indem es die digitalen Nachrichtendienstaktivitäten der USA einschränkt und einen zweistufigen unabhängigen Beschwerdemechanismus für betroffene Personen einführt. Auf der Grundlage der neuen Entscheidung, die ein angemessenes Schutzniveau für Personendaten sicherstellt, können Daten sicher von EU- an US-Unternehmen übertragen werden, ohne zusätzliche Schutzmassnahmen für den Transfer einführen zu müssen. Mit der Entscheidung soll sichergestellt werden, dass die betroffenen Personen in der EU weiterhin einen wichtigen Schutz ihrer Privatsphäre geniessen und die Unternehmen gleichzeitig in der globalen Wirtschaft tätig sein können. Das DPF ist eine Reaktion, die die Lücken des 2016 zwischen der EU und den USA geschlossenen Datenschutzschildes schliessen soll.
Der unter dem EU-US DPF gewährte Datenschutz gilt für Personendaten, die zwischen der EU und den US-Organisationen, die sich dem DPF angeschlossen und untergeordnet haben, übertragen werden. Diese Organisationen müssen unter anderem ihre Datenschutzrichtlinien bis zum 10. Oktober 2023 aktualisieren.
Ist das DPF auf Datenübertragungen aus der Schweiz anwendbar?
Obwohl das EU-Recht für die Schweiz nicht bindend ist, werden sich Schweizer Unternehmen, die Personendaten gemäss der DSGVO verarbeiten, sich bei der Übertragung solcher Daten auf das angenommene Datenschutzrahmenabkommen stützen können, um ihre DSGVO-Pflichten zu erfüllen. Allerdings ist das DPF noch nicht auf Datenübertragungen nach dem Schweizerischen Bundesgesetz über den Datenschutz (DSG) anwendbar.
Nach der Aufhebung des EU-US Privacy Shield 2020 hat der Schweizer Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), ähnlich wie der EuGH, entschieden, dass das CH-US Privacy Shield keinen angemessenen Schutz für Datenübertragungen von der Schweiz in die USA bietet. Nach der Angemessenheitsentscheidung der EU gab der EDÖB am 11. Juli 2023 bekannt, dass er Kenntnis von der EU-Angemessenheitsentscheidung genommen hat, es aber dem Bundesrat obliegt zu prüfen, ob das CH-US DPF einen angemessenen Datenschutz gewährt. Eine solche Prüfung kann offiziell erst ab dem 1. September 2023 durchgeführt werden. Bis das CH-US DPF endgültig festgelegt und geprüft sei, bleibt die Angemessenheitsliste der Schweiz unverändert. Daher können Unternehmen, die dem DSG unterliegen, sich in den nächsten Monaten nicht auf das neue EU-US DPF für Datenübertragungen in die USA verlassen.
Die nächsten Schritte auf US-Seite
Am 17. Juli 2023 werden die Regeln des Schweizerisch-US-amerikanischen DPF auf US-Seite in Kraft treten. US-Unternehmen, die sich selbst zur Einhaltung des Rahmenabkommens verpflichten, müssen unter anderem ihre Richtlinien bis zum 17. Oktober 2023 aktualisieren. US-Unternehmen mit einer gültigen CH-US Privacy Shield-Zertifizierung müssen keine separate, erste Selbstzertifizierungsanmeldung vorlegen, um dem CH-US DPF beizutreten.
Zusätzlich wird die International Trade Administration am 17. Juli 2023 eine DPF-Website starten, die es US-Organisationen ermöglicht, sich vorab zu zertifizieren. Es wird erwartet, dass die Plattform es den teilnehmenden Organisationen auch ermöglicht, jährliche Anträge auf Rezertifizierung zu stellen, und dass sie eine Sammlung von Materialien enthält, die Leitlinien und Informationen über das DPF-Programm und seine Aufsicht zur Verfügung stellen.
Rechtliche Herausforderungen
Die NGO NOYB, zu deren bekannten Mitgliedern Max Schrems gehört, steht dem neuen DPF kritisch gegenüber. Sie behaupten, dass das neue transatlantische DPF lediglich eine neue Kopie des vorherigen Privacy Shield von 2016 ist. Die Organisation betont, dass es unausweichlich ist, dass die neue Regelung dem EuGH vorgelegt wird und dies bereits in diesem Jahr oder Anfang 2024 geschehen könnte. Laut NOYB hat die neue Regelung fast nichts am US-Recht oder am Ansatz der EU geändert, und das grundlegende Problem, das sich aus FISA 702 ergibt, wurde nicht gelöst, und die Europäische Kommission zeige wenig Sorge um die Rechtsstaatlichkeit und den Datenschutz der Bürger.
Compliance-Check vor der Berufung auf das DPF
Obwohl das neue EU-US DPF ein neuer Meilenstein bei den transatlantischen Datenübertragungen ist, bleibt abzuwarten, wie lange es rechtlich gültig sein und nicht vom EuGH aufgehoben wird. Wenn Ihre Datenübertragung auf dem neuen DPF basieren soll, müssen Sie folgendes prüfen:
1. Ist die US-Partei, die an der Übertragung beteiligt ist, nach dem EU- oder zukünftig CH-US DPF zertifiziert?
2. Ist das EU-US oder später das CH-US DPF auf die Übertragung anwendbar?
3. Wird das DPF in Ihrem Rechtsbereich als ausreichenden Datenschutz bietend anerkannt?
Internationale Datenübertragungen bleiben eine Herausforderung und die Nichteinhaltung kann zu hohen Strafen führen. Wir helfen Ihnen gerne bei der Analyse Ihres speziellen Anwendungsfalls und unterstützen Sie bei der Einhaltung der datenschutzrechtlichen Vorschriften. Kontaktieren Sie unsere Spezialisten, um zu besprechen, wie wir Sie unterstützen können.
Quellen:
1. https://ec.europa.eu/commission/presscorner/detail/de/ip_23_3721
2. https://www.edoeb.admin.ch/edoeb/de/home/kurzmeldungen/20230410_eu_us_dp...
