Rückblick: Webinar "Data Privacy Framework"

Mit dem neuen EU-U.S. Data Privacy Framework (DPF) wurde ein neues Datenschutzabkommen zwischen der EU und den USA vereinbart, welches die Verarbeitung und Übermittlung personenbezogener Daten rechtssicher klären soll.

Eine umfassende Einordnung dazu sowie Antworten auf individuelle Fragen gab Dr. Stefan Kabelitz, Fachanwalt für IT-Recht bei der Kanzlei Lauprecht Rechtsanwälte Notare aus Kiel und Fachgruppenleiter der DiWiSH Fachgruppe Recht letzte Woche im Webinar.

Die wichtigsten Fragen und Antworten dazu in Kurzfassung:

Für welche Unternehmen ist das Thema überhaupt relevant?

Das Thema ist relevant für alle Unternehmen, die Software oder Tools von Anbietern mit Sitz in den USA einsetzen und mit diesen personenbezogene Daten verarbeiten. Zu diesen Daten gehören z.B. Mitarbeiterdaten und Kundendaten. Schon der Versand von E-Mails mit Office365 oder das Speichern von Adressen in einer AWS-Cloud setzen voraus, dass man sich mit dem DPF beschäftigt.

Was regelt das Data Privacy Framework eigentlich genau – und was ist daran neu?  

Die Übermittlung personenbezogener Daten in Drittländer, zu denen die USA gehören, setzt voraus, dass dabei ein sog. angemessenes Schutzniveau gewährleistet ist. Dies bedeutet, dass die Daten von EU-Bürgern im Ausland einen Schutz genießen müssen, der dem EU-Standard entspricht. Jedes Unternehmen muss dies selbst sicherstellen und haftet dafür.

Um dieses Schutzniveau sicherzustellen, sieht die DSGVO im Wesentlichen drei Instrumente vor: Den Abschluss sog. Standardvertragsklauseln, einzelfallbezogene Ausnahme und eben sog. Angemessenheitsbeschlüsse der EU-Kommission. Mit einem solchen Beschluss bestätigt die Kommission gewissermaßen, dass die hinter den Daten stehenden Personen im jeweiligen Drittland einen ausreichenden Schutz genießen. Dafür sind z.B. entsprechende Rechtsschutzmöglichkeiten erforderlich.

Bisher hatte EuGH die Vorgänger (Safe Harbour und Privacy Shield) u.a. deshalb kassiert, weil die US-Gesetze den US-Behörden einen aus Sicht des Gerichts zu weiten Zugriff auf die Daten von EU-Bürgern gewährten. Außerdem gab es keine richtige Möglichkeit, sich als EU-Bürger dagegen zu wehren, oder den Zugriff gerichtlich überprüfen zu lassen.

Mit einer sog. Executive Order des US-Präsidenten soll dies nun anders sein. Danach sollen die Geheimdienste über begrenztere Befugnisse verfügen. Außerdem sollen sie einer strengeren Kontrolle unterliegen. Schließlich sollen EU-Bürger nun mit einem Rechtsschutzmechanismus eine Überprüfung der Datenverarbeitung durch US-Behörden erreichen können.

Was sollten Unternehmen jetzt konkret tun?

Das DPF sieht – wie schon die Vorgänger – vor, dass sich US-Anbieter zertifizieren lassen können. Für die zertifizierten Anbieter gilt zunächst einmal, dass eine Übermittlung auf Grundlage des Abkommen möglich ist.

Unternehmen sollten deshalb prüfen, welche Software und Tools zum Einsatz kommen und ob sie von einem zertifizierten Anbieter stammen. Dafür steht eine entsprechende Suchfunktion bereit.

Ist der Anbieter zertifiziert, kann er weiterverwendet werden. Es müssen dann aber die Datenschutzdokumente (Datenschutzerklärung, Datenschutzinfos, Verarbeitungsverzeichnisse, ggfs. Einwilligungserklärungen, Consent-Tools) angepasst werden.
Anbieter ohne Zertifizierung können nicht datenschutzkonform genutzt werden, es sei denn, es werden mit diesen Anbietern Standardvertragsklauseln abgeschlossen.

Wichtig: Nur weil ein Anbieter zertifiziert ist, heißt es nicht, dass auch die Datenverarbeitung erlaubt ist. Neben dem angemessenen Schutzniveau, das über das DPF gewährleistet ist, braucht es immer auch eine datenschutzrechtliche Erlaubnis für die jeweilige Datenverarbeitung. Das heißt, neben der Zertifizierung des jeweiligen Anbieters müssen Unternehmen auch z.B. wirksame Einwilligungen (z.B. für den Newsletter-Versand) nachweisen können.

Wie nachhaltig ist das neue Abkommen?

Nach den sog. Schrems I- und Schrems II-Entscheidungen des EuGH ist zu erwarten, dass auch das DPF vor dem EuGH landet. Ob es dann hält, oder auch kassiert wird, muss man abwarten. Die Kritik am Abkommen ist vergleichbar mit derjenigen an Safe Harbour und Privacy Shield. Auch Datenschutzbehörden sind skeptisch, ob das das Abkommen lange Bestand haben wird.  

Es würde deshalb nicht überraschen, wenn vielleicht sogar schon im nächsten Jahr das DPF wieder für unwirksam erklärt wird. Anschließend würden wir uns wohl wieder eine längere Zeit im luftleeren Raum bewegen. Eine solche Rechtsunsicherheit ist natürlich unbefriedigend für jedes Unternehmen, das ernsthaft langfristig in seine eigene Datenschutzkonformität investieren möchte. Wer kann, sieht sich vielleicht schon einmal nach Alternativen aus der EU um.

Die vollständige Aufzeichnung des Webinars, welches gemeinsam von DiWiSH (Digitale Wirtschaft Schleswig-Holstein) und der IHK Schleswig-Holstein veranstaltet wurde, finden Sie hier.