Die Nutzung US-basierter Cloud-Dienste wie Zoom und Amazon AWS oder auch Analyse-Tools wie Google Analytics ist für viele gängiger Geschäftsalltag. Aber wusstest Du, dass hierbei aktuell keine gültige Rechtsgrundlage für die damit verbundenen Verarbeitung personenbezogener Daten in den USA vorliegt? In den letzten Monaten sorgten einige Schlagzeilen zu durch die EU-Aufsichtsbehörde verhangene Rekordstrafen für Verunsicherung unter den Nutzern solcher Anwendungen.
Die gute Nachricht: Mit dem Data Privacy Framework ist ein neues Abkommen besiegelt, um zukünftig die rechtssichere Verwendung solcher mehrheitlich zu Tracking- und Analysezwecken eingesetzten Tools zu gewährleisten. Am 10 Juli 2023 erfolgte der offizielle Beschluss zwischen der Europäischen Kommission und den USA über das neue Datenschutzrahmenabkommen für den transatlantischen Datenverkehr. Welche Vereinbarungen das Abkommen beinhaltet und welche Auswirkungen diese auf Dein Unternehmen oder Deine Website hat, erfährst Du hier.
Gescheiterte Vorgänger und unsichere Rechtslage
Seit dem Entscheid des Europäischen Gerichtshofs im Jahr 2015 gegen das Safe-Harbour-Abkommen sowie dem 2020 gescheiterten Nachfolger, das EU-US Privacy Shield, gab es keine rechtliche Grundlage mehr, welche die Weitergabe von Daten an Dienste in der USA regelte. Hauptgrund für die Ungültigkeitserklärung beider Abkommen waren dabei die Überwachungsmechanismen in den USA. Alle bisherigen Vereinbarungen zum transatlantischen Datentransfer zwischen europäischen Nutzern und US-Dienstleistern hätten gegen die geltenden Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) verstoßen und somit keine vollständige Datenschutzgarantie gewährleistet.
Folglich haben auch Unternehmen in Deutschland möglicherweise ohne Rechtsgrundlage personenbezogene Daten, welche strengen Datenschutzauflagen unterliegen, in die USA übertragen. Betroffenen Unternehmen und Websitebetreiber, welche sich nicht durch zusätzliche Standardvertragsklauseln oder Datenschutzfolgenabschätzungen zur Übertragung personenbezogener Daten in die USA abgesichert haben, drohen nun entsprechende Bußgelder und Abmahnungen.
Widerstand auch gegenüber dem aktuellen Abkommen
Nach monatelangen Verhandlungen zwischen US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen gibt es einen Nachfolger des als unrechtmäßig erklärten Privacy-Shield-Abkommens. Auch wenn der im Dezember 2022 vorgelegte Entwurf vor dem endgültigen Angemessenheitsbeschluss der Europäischen Kommission zunächst einen Marathon bewältigen musste. Die größte Hürde dieses Entwurf war erneut die Vereinbarkeit der Datenschutzanforderungen mit den strengen Überwachungsgesetzen der USA. Bis zuletzt hatten sich verschiedene Interessengruppen innerhalb der EU kritisch zum neuen Datenschutzabkommen geäußert. So sprach sich der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments (LIBE) im Februar 2023 gegen den Entwurf aus. Im März 2023 nahm daraufhin der Europäische Datenschutzausschuss Stellung und kritisierte insbesondere die weiterhin mögliche Massenerfassung von Daten sowie die fehlende Transparenz im Rechtschutzverfahren für betroffene Personen in der EU.
Privacy Shield 2.0 – USA adressiert Bedenken
Erst ein Entgegenkommen der USA im Juli 2023 brachte den Durchbruch. Die Vereinigten Staaten verpflichteten sich dazu, ihrerseits alle erforderlichen Maßnahmen für die Umsetzung des Trans-Atlantic Data Privacy Framework zu ergreifen. Außerdem wurde festlegt, dass im Fall von Rechtsverletzungen Betroffene in der EU Beschwerde bei U.S. Data Protection Review Court einreichen können. Die Europäische Kommission entschied daraufhin, dass alle Anforderungen erfüllt seien, um bei der Verarbeitung von personenbezogenen Daten aus der EU durch Unternehmen in den USA einen angemessenen Schutz zu gewährleisten.
Für Unternehmen und Website-Betreiber innerhalb der EU bedeutet die politische Vereinbarung, dass US-Dienste wie Google Analytics rechtmäßig genutzt werden können und dennoch Privatsphäre und persönliche Daten geschützt bleiben. Folgende Mechanismen sollen ein angemessenes Schutzniveau für den transatlantischen Datentransfer gewährleisten sowie die Privatsphäre von EU-Bürgern schützen:
- US-Geheimdienste erhalten nur dann auf Daten Zugriff, wenn dies für den Schutz der nationalen Sicherheit notwendig ist. Bisher konnte für jedes US-Unternehmen ein solcher Datenzugriff erzwungen werden.
- Dienstleister, welche personenbezogene Daten aus der EU verarbeiten und am Privacy Shield teilnehmen möchten, müssen bestimmte Datenschutzprinzipien einhalten. Hier zu gehören Klarheit, Zweckbindung und die Begrenzung der Datenspeicherung auf den Zeitraum der Zweckerfüllung sowie eine Rechenschaftspflicht.
- Zur Einhaltung der strengen Auflagen und Überwachungsmechanismen, prüft und zertifiziert das US-Handelsministerium teilnehmende Unternehmen. Alle Unternehmen mit DPF-Zertifizierung werden außerdem veröffentlicht.
- Unabhängige Beschwerderechte sollen es ermöglichen, Verstöße gegen den Datenschutz zu melden. Es wird außerdem ein Datenschutzgericht eingerichtet, welches EU-Bürgern als unabhängiges Gericht im Fall von Rechtsverletzungen dient.
Auswirkungen auf Unternehmen/Einzelpersonen in der EU
Die politische Einigung hat für europäische Unternehmen und Einzelpersonen wirtschaftlich und rechtlich große Bedeutung. Europäische Unternehmen, die personenbezogene Daten in die USA übermitteln, erhalten durch das Privacy Shield Abkommen den Rahmen für ein angemessenes Schutzniveau für die Privatsphäre und die Rechte ihrer Kunden, indem relevante Datenschutzprinzipien und Kontrollmechanismen festgelegt, angewandt und kontrolliert werden.
Das bedeutet, dass europäische Unternehmen weiterhin rechtssicher personenbezogene Daten in die USA übermitteln, ohne gegen europäische Datenschutzbestimmungen zu verstoßen. Bei der Anzahl US-basierter Anbieter von Webdiensten, die für viele zum täglichen Business dazu gehören, ist dies für die gewohnte Fortführung bestehender Geschäftsaktivitäten unerlässlich.
Was musst Du für Deinen Webauftritt beachten?
Als Unternehmen oder Website-Betreiber stehst Du in der Pflicht, für alle über Deine Website oder alternative Kanäle erhobene Daten gemäß des Europäischen Datenschutzrechts ausreichenden Schutz zu gewähren. Das bedeutet, dass Du im Fall von Datenübermittlungen an Dritte (wie zum Beispiel Microsoft Teams, Zoom oder Google Analytics) auf Folgendes achten musst:
- Stelle sicher, dass Dein Unternehmen und seine verbundenen Mitarbeiter und externe Partner ein verhältnismäßig angemessenen Datenschutzniveau für personenbezogene Informationen gemäß der DSGVO gewährleisten.
- Kommuniziere Deinen Kunden gegenüber transparent, welche Daten für welchen Zeitraum und Zweck erhoben, gespeichert und verarbeitet werden. Prüfe und aktualisiere dementsprechend regelmäßig die Datenschutzerklärung Deiner Website.
- Setze im Zweifelsfall auf Dienstleister, welche sich innerhalb der EU befinden und so den Anforderungen der DSGVO vollumfänglich entsprechen.
- Prüfe im Fall der Verwendung von Anbietern in den Vereinigten Staaten, dass diese teilnehmende Unternehmen des EU-U.S. Data Privacy Framework sind und über eine entsprechende Zertifizierung verfügen.
Aktuelles Data Privacy Framework ein Auslaufmodell?
Wie lange das neue EU-U.S. Privacy Shield als Rahmen für eine rechtssichere Datenübermittlung tatsächlich Bestand hat, ist jedoch fraglich. Denn auch wenn vorerst eine grundsätzliche Einigung erfolgt ist, ist nur verhaltene Zuversicht angebracht. Die Europäische Kommission hat bereits betont, spätestens im Frühjahr 2024 die tatsächliche Einhaltung eines angemessenen Datenschutzniveaus zu überprüfen. Und auch Datenschutzaktivist Max Schrems und Mitgründer der NGO byob hat bereits eine erneute Anfechtung vor dem Europäischen Gerichtshof angekündigt.
Es dürfte außerdem interessant sein, ob es europäischen Web-Dienstleistern gelingt, US-basierten Anbietern mit vergleichbaren Diensten den Rang abzulaufen. Denn verbleiben sämtliche Unternehmensdaten ausschließlich innerhalb der EU, sichert dies nachhaltig einen zuverlässigen Schutz personenbezogener Daten gemäß den bestehenden Regelungen der Europäischen Datenschutzverordnung – und zwar völlig unabhängig vom zukünftigen Werdegang der transatlantischen Abkommen. Wir sind gespannt… Und halten Dich natürlich weiterhin auf dem Laufenden.
Schreibe einen Kommentar