Die EU-Kommission hat kürzlich das neue Trans-Atlantic Data Privacy Framework (TADPF) verabschiedet, eine Vereinbarung, die den Austausch personenbezogener Daten zwischen der EU und den USA regelt. Nach den Vorgängern, Safe Harbor und Privacy Shield, ist dies das dritte Mal, dass das Datenschutzniveau der USA als angemessen im Vergleich zu dem der EU angesehen wird. Trotz Kritik und Ablehnung, u.a. durch eine Resolution des EU-Parlaments, hat die EU-Kommission diesen Beschluss gefasst.
Es ist jedoch wichtig zu beachten, dass dieser Beschluss möglicherweise nicht endgültig ist. Datenschutzaktivist Max Schrems plant, Klage einzureichen, und schätzt, dass das Abkommen möglicherweise bis Ende 2023 oder Anfang 2024 vorläufig ausgesetzt werden könnte. Der Prozess könnte erneut etwa zwei Jahre dauern. Zudem hätte die Erneuerung des US Foreign Intelligence Surveillance Act Ende dieses Jahres die Gelegenheit für substantielle Änderungen geboten. Ohne eine gesetzliche Änderung der Massenüberwachung von EU-Bürgern wird es schwierig, ein dauerhaft stabiles Abkommen zu gewährleisten. Die EU-Kommission hat diese Chance leider nicht genutzt.
Können Sie nun Dienste wie Google Analytics ohne Bedenken einfach so nutzen?
Die Antwort ist kompliziert.
Selbst wenn der derzeitige Beschluss als gültig angesehen wird, können Daten nicht einfach aufgrund dieses Beschlusses an US-Unternehmen übertragen oder entsprechende Dienste genutzt werden.
Eine eigene Rechtsgrundlage für die Datenverarbeitung, wie eine Einwilligung, ein Vertrag oder die Abwägung berechtigter Interessen, ist nach wie vor notwendig. Außerdem muss ein Vertrag zur Auftragsverarbeitung nach Artikel 28 DSGVO vorliegen. Dieser muss insbesondere den eindeutigen Zweck (keine Weiterverarbeitung durch den Auftragnehmer für eigene Zwecke), Weisungsgebundenheit, technische und organisatorische Maßnahmen etc. beinhalten. Hier muss zudem in dem Land, in welchem der Dienstleister seinen Sitz hat bzw. die Daten verarbeitet ein gleiches Datenschutzniveau wie in Europa bestehen. Nur das angemessene Datenschutzniveau wird durch das TADPF bescheinigt, vorausgesetzt das betreffende Unternehmen unterwirft sich einer Selbstzertifizierung.
Im Moment scheint der Einsatz von US-Dienstleistern, die unter dem TADPF zertifiziert sind, rechtssicher zu sein. Dieses Ergebnis beruht auf der Einigung zwischen der EU und den USA, bei der die USA verbesserte Datenschutzmaßnahmen für EU-Bürger eingeführt haben und die EU-Kommission ein angemessenes Datenschutzniveau in den USA festgestellt hat (Artikel 45 DSGVO). Es werden jedoch mögliche Defizite in diesen Maßnahmen gesehen, und es besteht die Möglichkeit, dass das TADPF vom Europäischen Gerichtshof für ungültig erklärt wird. Unternehmen, die US-Dienstleister einsetzen, sollten dieses Risiko (weiterhin) berücksichtigen.
Sollten Sie Dienstleister aufgrund des TADPF einsetzen, gibt es verschiedene Anpassungen, die Sie beachten sollten:
1. Anpassung der Dokumentation von berechtigten Interessen (Art. 6 DSGVO)
2. Anpassung eventueller Einwilligungen (Art. 6, 7 DSGVO)
3. Anpassung der Datenschutzerklärung (Art. 13, 14 DSGVO)
4. Berücksichtigung bei der Beauskunftung von Betroffenen (Art. 15 Abs. 2 DSGVO)
5. Anpassung von AV-Verträgen (Art. 28 Abs. 3 DSGVO)
6. Anpassung der Angaben im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
7. Anpassung existierender Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
Wir werden Sie weiterhin über relevante Entwicklungen in diesem Bereich informieren.