Das EU-US Data Privacy Framework in der Praxis 

Im Juli letzten Jahres erging der von Unternehmen lang herbeigesehnte Angemessenheitsbeschluss der EU-Kommission ((EU) 2021/914) zum EU-US Data Privacy Framework. Das bedeutet, dass für US-Unternehmen, die sich nach dem "Data Privacy Framework" selbstzertifiziert haben, ein angemessenes Datenschutzniveau besteht.

Bis zu diesem Zeitpunkt mussten für jede Übermittlung von personenbezogenen Daten an US-Unternehmen mit diesem die EU-Standardvertragsklauseln (SCC) abgeschlossen werden und zusätzliche Maßnahmen ergriffen werden. Unter anderem die Durchführung eines Transfer Impact Assessments (TIA) und ggf. die Vereinbarung weiterer Regelungen. 

Auch wenn dieser Beschluss mehr als ein halbes Jahr her ist, sind sich viele Unternehmen noch immer nicht ganz sicher, welche Schritte sie bezüglich der Datenübermittlung für Altverträge mit US-Unternehmen gehen und für zukünftige Verträge beachten müssen und was datenschutzrechtlich zu unternehmen ist. 

Was bedeutet eine Zertifizierung nach dem Data Privacy Framework für die Datenübermittlung?

Unternehmen, die sich nach dem Data Privacy Framework zertifizieren lassen, garantieren damit, dass sie ein Datenschutzniveau bieten, das den Anforderungen der EU entspricht. Dazu zählt u.a. die Einräumung der Betroffenenrechte nach der DSGVO.

Was ist zu tun?

Für welche Unternehmen gilt der Angemessenheitsbeschluss und wo findet man die erforderlichen Informationen?

Der Angemessenheitsbeschluss der EU-Kommission ist nicht pauschal auf „die USA“ anzuwenden. Er betrifft nur die zertifizierten US-Unternehmen. Es gilt also in jedem einzelnen Fall zu prüfen, ob man personenbezogene Daten an ein zertifiziertes oder ein nicht-zertifiziertes US-Unternehmen übermitteln möchte. Wo findet man nun die erforderlichen Informationen? Leider schreiben noch nicht alle US-Unternehmen auf ihren Webseiten ausdrücklich, dass sie sich nach dem Data Privacy Framework haben zertifizieren lassen. Andere Unternehmen behaupten sogar teilweise, sie wären zertifiziert oder „hätten sich dem Framework angeglichen“, verfügen aber tatsächlich über keine aktive Zertifizierung. 

Deshalb muss man selbst überprüfen, ob das jeweilige Unternehmen gelistet ist. Diese Liste finden Sie hier. Zu beachten ist dabei:

  • Die Angaben ändern sich fortlaufend. Immer mehr Unternehmen zertifizieren sich, was vor ein paar Monaten noch als „inactive“ verzeichnet wurde, steht heute vielleicht unter „active“.
  • US-Unternehmen lassen sich nicht immer für alle personenbezogenen Daten zertifizieren. In der Auflistung kann man einsehen, ob sie z.B. nur für die Übermittlung HR-Daten zertifiziert sind oder für sämtliche Daten. 

Für welche Verträge spielen die Zertifizierungen eine Rolle?

Zu beachten ist, dass die Zertifizierung nicht nur für die Verträge unmittelbar mit einem US-Unternehmen eine Rolle spielt, sondern auch für jene, deren Vertragspartner:in US-Unternehmer:innen als Unterauftragsverarbeiter:innen einsetzen. 

Was gilt für bestehende (vor Juli 2023) Verträge mit US-Unternehmen?

Grundsätzlich besteht für Altverträge, die unter Einbindung der Standardvertragsklauseln und mit Durchführung eines TIA geschlossen wurden, kein Handlungsbedarf. Es kann jedoch sein, dass die US-Unternehmen eine Anpassung wünschen. Dem kann man nachkommen, es sollte jedoch eine Klausel eingebaut sein für den Fall, dass der Angemessenheitsbeschluss seine Geltung wieder verliert (wie in der Vergangenheit mit dem Privacy Shield geschehen).

Wurde bei den Altverträgen kein TIA durchgeführt, oder die Standardvertragsklauseln nicht ordnungsgemäß mit eingebunden, so „heilt“ eine Selbstzertifizierung des Unternehmens zwar nicht diese alten Verträge, allerdings besteht auch keine Notwendigkeit mehr, diese Maßnahmen nachzuholen. 

In manchen alten Verträgen ist bereits eine Klausel integriert für den Fall, dass ein Angemessenheitsbeschluss ergeht. In dem Fall besteht ebenfalls kein Handlungsbedarf, da nun diese Klausel greift.

Was gilt für zukünftige Vertragsabschlüsse mit US-Unternehmen?

Für neue Vertragsschlüsse gilt: Es ist zu prüfen, ob das US-Unternehmen (oder die US-Unternehmen, die als Unterauftragnehmer:innen aufgeführt werden) nach dem Data Privacy Framework zertifiziert sind. Im positiven Fall kann dann der Vertrag ohne Einbindung der Standardvertragsklauseln, und vor allem ohne die vorherige Durchführung eines TIA, abgeschlossen werden. Man sollte jedoch an eine Klausel bezüglich der einschlägigen Module der Standardvertragsklauseln und Durchführung eines TIA denken, falls der Angemessenheitsbeschluss seine Geltung verliert/das Data Privacy Framework gekippt werden sollte (s.o.).

Achtung bei Unterauftragnehmer:innen

Für US-Unternehmen, die als Unterauftragnehmer:innen aufgelistet sind, und die nicht selbst zertifiziert sind, muss weiterhin ein TIA durchgeführt werden und dieses Unternehmen muss weiterhin die Standardvertragsklauseln im DPA eingebunden haben. 

Re-Zertifizierung des US-Unternehmens ist erforderlich

Weiterhin muss man wissen, dass die Zertifizierung entfallen kann, wenn die US-Unternehmen sich nicht re-zertifizieren. Die Zertifizierung muss in Abständen verlängert werden. Dies muss also regelmäßig überprüft werden oder man vereinbart, dass das US-Unternehmen rechtzeitig mitteilt, ob es eine Re-Zertifizierung vornimmt oder nicht. Auch aus diesem Grund sollte in Neuverträgen die Möglichkeit berücksichtigt werden, dass die Vereinbarung der Standardvertragsklauseln erforderlich wird. 

Update der Datenschutzerklärungen erforderlich

Auch wenn aufgrund der aktuellen Vertragssituation im Unternehmen kein Handlungsbedarf bestehen sollte, ist daran zu denken, dass die Datenschutzhinweise ggf. aktualisiert werden müssen bezüglich jener Unternehmen, die eine Selbstzertifizierung vorgenommen haben. 

Fazit

Zumindest für die Datenübermittlung an eine ganze Reihe US-Unternehmen, die sich zertifiziert haben, hat sich der Vertragsabschluss deutlich vereinfacht. Vor allem dadurch, dass der Zeitaufwand für ein TIA entfällt. Es bleiben jedoch immer noch eine Menge US-Unternehmen, die sich nicht zertifizieren. Hier müssen die „alten“ Regelungen weiterhin beachtet werden. 


Ihre Ansprechperson

Dr. Sonja Detlefsen

sd@comp-lex.de


Ähnliche Artikel: