Direkt zum Inhalt wechseln

Das Wichtigste zum neuen Abkommen über Datentransfers zwischen der EU und den USA

Am 10.7.2023 hat die EU-Kommission eine neue Adäquanzentscheidung für den sicheren Datenverkehr zwischen der EU und den USA verabschiedet. Der Trans-Atlantic-Data-Privacy-Framework (TADPF) ist damit nach „Safe Harbor“ und „Privacy Shield“ der dritte Anlauf, um transatlantische Datentransfers möglichst unbürokratisch auszugestalten. Wer sich für die Genese und den Weg hin zum TADPF interessiert, findet hier und hier Wissenswertes.

Wir schauen aber nach vorn. Was ist für die Praktikerin wichtig zu wissen?

  1. Wirkung des TADPF

Bei dem TADPF handelt es sich um einen Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 DSGVO. Die USA gelten hiernach datenschutzrechtlich erneut als sog. sicherer Drittstaat mit der Folge, dass für Datenexporte an Empfänger mit Sitz in den Staaten, keine zusätzlichen Legitimationsinstrumente mehr erforderlich sind. Anders als bei anderen Angemessenheitsbeschlüssen wirkt das TADPF jedoch nur eingeschränkt. Wie auch bei der Vorgängerregelung des Privacy Shield, gilt die privilegierende Wirkung das TADPF nur für solche Datenempfänger, die sich einem Selbstzertifizierungsmechanismus unterzogen haben, in dessen Rahmen sie sich verpflichten, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten. Unternehmen, die nach den Kriterien des TADPF zertifiziert sind, werden absehbar unter www.dataprivacyframework.gov gelistet sein. Derzeit ist die Webseite under construction.

To do: Datenverarbeiter sollten sowohl bei bestehenden Verträgen mit Datenempfängern in den Staaten als auch bei Neuverträgen prüfen, ob es sich um zertifizierte Datenempfänger handelt. Ist diese nicht der Fall, sind weiterhin alternative Transferinstrumente erforderlich (dazu jetzt).

 

  1. Das Schicksal der SCC (und TIA)

Datentransfers an Empfänger in den USA wurden im Nachgang an die Schrems 2-Rechtsprechung des EuGH sukzessive auf Standard-Vertragsklauseln (SCC) umgestellt. Die SCC sind regelmäßig Teil eines Data Processing Agreements (DPA). Die meisten DPA enthalten eine Geltungs- bzw. Vorrangklausel, wonach SCC nur dann zum Tragen kommen sollen, wenn das Bestimmungsland des Datenexports nicht als sicherer Drittstaat eingeordnet wird. In diesen Fällen werden künftig zertifizierte Datenimporteure mit Sitz in den USA recht flott auf das TADPF umstellen, ohne dass Anpassungen am Vertragswerk nötig werden.

To do: Abgeschlossene DPA sollten darauf untersucht werden, ob Anpassungen im Hinblick auf die Grundlage des Drittstaatentransfers erforderlich sind.

Vollends nutzlos sind abgeschlossene SCC und insbesondere die teilweise in mühevoller Fleißarbeit erstellten Transfer Impact Assessments TIA gleichwohl nicht. SCC werden weiterhin sowohl für jene Empfänger in den USA, die sich nicht dem Selbstzertifizierungsmechanismus unterworfen haben als auch solche in allen anderen Regionen der Welt, die datenschutzrechtlich als nicht sicher eingeordnet werden, benötigt. Die den SCC nicht selten nachgesagte Reservefunktion für den Fall eines allzu überraschenden „Aus“ für das TADPF sehe ich hingegen aus unterschiedlichen Gründen nicht.

To do: Haben sich Datenempfänger mit Sitz in den USA nicht dem TADPF unterworfen oder sitzen diese in sog. nicht-sicheren Drittstaaten, sind regelmäßig weiterhin SCC abzuschließen.

 

  1. Weitere Compliance-Pflichten für Datenverarbeiter

Kommt es im Zusammenhang mit einer Datenverarbeitung zu einem Drittstaatentransfer, ist nicht nur dieser Transfer selbst gesondert legitimationsbedürftig. Datenverarbeiter treffen in diesen Fällen weitere Compliance-Pflichten, u. a. im Zusammenhang mit den Betroffenenrechten.

To Do: Das TADPF macht Anpassungen dieser datenschutzrechtlichen Dokumentation erforderlich. Die wichtigsten sind die folgenden:

  • Anpassung der Datenschutzerklärung (Art. 13, 14 DSGVO)
    • Hinweis auf den Umstand, dass die Datenverarbeitung mit einem Drittstaatentransfer einhergeht,
    • Benennung des Empfängers,
    • Umstellung des Transferinstruments von SCC auf TADPF, sofern zutreffend
  • Anpassung von Templates zur Beauskunftung von Betroffenen (Art. 15 Abs. 2 DSGVO)
    • Umstellung des Transferinstruments von SCC auf TADPF, sofern zutreffend
  • Anpassung der dokumentierten Auswahlentscheidung im Falle des Einsatzes von Auftragsverarbeitern (Art. 28 Abs. 1 DSGVO)
    • Monitoring, ob sich bereits eingesetzte oder noch einzusetzende Auftragsverarbeiter dem TADPF unterworfen haben; aber: ist dies nicht der Fall, ist der Einsatz des Dienstleisters gleichwohl nicht per se ausgeschlossen
  • Anpassung der Angaben im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
    • Anpassung des VVT-Eintrages gemäß Art. 30 Abs. 1 lit. e DSGVO (Dokumentation geeigneter Garantien im Falle von Drittstaatentransfers)
  • Anpassung existierender Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
    • jedenfalls dann, wenn Risiken im Zusammenhang mit Datenübertragungen an Empfänger in den USA wesentlicher Gegenstand der Betrachtung sind

 

  1. Add-On: Auswirkungen auf Datenverarbeiter mit Sitz in der Schweiz

In der Vergangenheit hat die Schweiz stets unabhängig von der EU ein Abkommen mit den USA unterzeichnet. Genau wie die EU ist die Schweiz seit ca. 3 Jahren bemüht, mit den USA ein Swiss-US Data Privacy Framework abzuschließen. Nach Ansicht des Eidgenössischen Datenschutzbeauftragten (EDÖB), dürfte nach erfolgtem Abschluss des EU-US Frameworks in wenigen Monaten mit einem Abschluss des Swiss-US Data Privacy Frameworks zu rechnen sein. Der Bundesrat ist nach Art. 16 Abs. 1 des revidierten Datenschutzgesetzes (nDSG) dafür zuständig festzustellen, dass die Gesetzgebung eines betreffenden Staats einen angemessenen Schutz gewährleistet. Die Staaten mit einem angemessenen Datenschutz sind in Anhang 1 der Verordnung über den Datenschutz (DSV) aufgeführt. Bis das Swiss-US Data Privacy Framework abgeschlossen ist, ändert sich an der Angemessenheitsliste der Schweiz und somit an der Wertung der USA als unsicherer Drittstaat nichts.