News
Was müssen europäische Unternehmen bei Beschluss des Trans-Atlantic-Data- Privacy-Framework beachten?
Am 13. Dezember 2022 hat die Europäische Kommission den Entwurf eines Angemessenheitsbeschlusses für die USA mit der Bezeichnung EU-U.S.-Data-Privacy-Framework („DPF“) veröffentlicht und das Verfahren zu dessen Annahme eingeleitet (Pressemitteilung der Kommission). Die Fachgruppen des Europäischen Datenschutzausschusses (EDSA) erarbeiten derzeit den Entwurf einer Stellungnahme. Diese Stellungnahme soll (laut dem Protokoll der Sitzung des EDSA vom 17. Januar 2023) am 28. Februar 2023 durch den EDSA verabschiedet werden.
Sobald der Angemessenheitsbeschluss wirksam ist, kann eine Übermittlung personenbezogener Daten von Stellen in der EU an zertifizierte Organisationen in den Vereinigten Staaten erfolgen, ohne dass für solche Übermittlungen weitere Zulässigkeitsvoraussetzungen aus Kapitel V DSGVO gelten. Datentransfers in die USA müssen dann nicht mehr auf die zurzeit häufig verwendeten Transfermechanismen der Standardvertragsklauseln oder Binding Corporate Rules gestützt werden. Die zwei vorangegangenen Angemessenheitsbeschlüsse zu den USA (Save Harbour und Privacy Shield) wurden beide vom EuGH für ungültig erklärt.
Mit Inkrafttreten des neuen DPF können Unternehmen zunächst auf dessen Wirksamkeit vertrauen. Denn wenn die Kommission einen solchen Angemessenheitsbeschluss erlässt, dann ist dieser unmittelbar anwendbar und rechtsverbindlich. Weder nationale Gerichte noch Datenschutzaufsichtsbehörden sind dazu befugt, die Ungültigkeit eines Angemessenheitsbeschlusses festzustellen. Diese Kompetenz liegt alleine beim EuGH. Entsprechend hat sich der EuGH in seinem Safe-Harbour-Urteil geäußert (Az. C-362/14). Bis der Gerichtshof eine mögliche Entscheidung bezüglich des neuen Angemessenheitsbeschlusses trifft, wird es zwangsläufig wieder einige Zeit dauern. Fernab der politischen Dimension ist es also aus rechtlicher Sicht für Unternehmen wieder deutlich einfacher, Daten in die USA zu übermitteln, wenn der Angemessenheitsbeschluss getroffen werden wird.
Auch Unternehmen aus der EU haben Handlungsbedarf, sobald der Beschluss getroffen wurde. Dies betrifft beispielsweise Anpassungen an Datenschutzhinweisen. Allgemein stellt sich die Frage, welche ToDos in der EU ansässige Unternehmen treffen. Idealerweise machen sich Unternehmen jetzt schon dazu Gedanken, um später rechtzeitig und einfacher alle erforderlichen Handlungsschritte vorzunehmen.
Legt der Entwurf Verpflichtungen für europäische Unternehmen fest?
Der Entwurf selbst legt keine direkten Verpflichtungen für europäische Unternehmen fest, die Daten auf Grundlage des DPF in die USA übermitteln. Unternehmen aus der EU sollten jedoch bei der Auswahl von US-Geschäftspartner einige aus dem Entwurf hervorgehende Besonderheiten beachten (z.B. DPF-Zertifizierung des US-Unternehmens, hierzu sogleich ausführlich). Außerdem sollten europäische Unternehmen immer vor der Übermittlung personenbezogener Daten sicherstellen, dass die durch Übermittlung erfolgende Datenverarbeitung im Einklang mit den außerhalb von Kapitel V in der DSGVO geregelten Anforderungen erfolgt. Dies betrifft unter anderem das Vorhandensein einer Rechtsgrundlage nach Art. 6 DSGVO (und ggf. Art. 9 Abs. 2 DSGVO) sowie die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO (z.B. Zweckbindung, Transparenz, Datenminimierung). Auch müssen Verantwortliche ihren Informationspflichten gegenüber den betroffenen Personen nachkommen. So ist beispielsweise über Empfänger der personenbezogenen Daten in den USA sowie über das Vorhandensein des Angemessenheitsbeschlusses zu informieren (Art. 13 Abs. 1 lit. e) und f) DSGVO oder Art. 14 Abs. 1 lit. e) und f) DSGVO).
Was müssen europäische Unternehmen beachten, wenn Sie Daten an US-Unternehmen auf Grundlage des DPF übermitteln möchten?
US-Unternehmen, welche sich zur Einhaltung einer Reihe von Datenschutzgrundsätzen verpflichtet haben, können sich nach dem DPF zertifizieren lassen. Die Grundsätze umfassen unter anderem Zweckbindung, Transparenz und Datensicherheit. Die Zertifizierung ist freiwillig. Zertifizierte Unternehmen sind jedoch zur Einhaltung der Grundsätze verpflichtet (Annex I I. 2. DPF, ErwGr 45 DPF). Das US-Handelsministerium veröffentlicht – wie auch schon zum Privacy Shield – eine Liste, die Unternehmen aufführt, die sich gegenüber dem Ministerium selbst zertifiziert und zur Einhaltung der Grundsätze verpflichtet haben („the Data Privacy Framework List“; Annex I I. 3. und Annex I III. 6. DPF). Unternehmen aus der EU sollten Einsicht in diese Liste nehmen, bevor sie Daten an ein US-Unternehmen übermitteln, um sicherzustellen, dass das jeweilige Unternehmen auch wirklich zertifiziert ist. Auch sollte geprüft werden, ob die Zertifizierung die Kategorie der in Rede stehenden Daten umfasst (z.B. HR-Daten) (so auch F.A.Q. zum Privacy Shield-Abkommen der Artikel 29 Datenschutzgruppe, Link). Da US-Unternehmen die Zertifizierung jährlich erneuern müssen, sollte die Liste in regelmäßigen Abständen noch einmal geprüft werden. In der Praxis wird es sich anbieten, einmal jährlich zu prüfen, ob alle der Empfänger der Daten in den USA, an die Übermittlungen auf Grundlage des DPF erfolgen, noch zertifiziert sind.
Checkliste der ToDos für europäische Unternehmen
Aus den oben angesprochenen Aspekten lässt sich eine Art Checkliste erstellen. Die folgenden Themenpunkte sollten von europäischen Unternehmen bei Datenübermittlugen auf Grundlage des DPF beachtet werden:
-
-
- Ist das Unternehmen nach dem DPF zertifiziert? Per Einsicht in Liste des US-Handelsministeriums prüfen.
- Umfasst die Zertifizierung des US-Unternehmens die Kategorie der zu verarbeitenden Daten?
- Existiert eine Rechtsgrundlage für die Datenverarbeitungen aus Art. 6 DSGVO und ggf. aus Art. 9 Abs. 2 DSGVO?
- Werden die Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 DSGVO eingehalten und ist dies nachweisbar?
- Wurden Anpassungen an den Datenschutzhinweisen vorgenommen, sodass Betroffene zusätzlich zu den Empfängern (Art. 13 Abs. 1 lit. e) DSGVO oder Art. 14 Abs. 1 lit. e) DSGVO) in den USA auch über das Vorhandensein des Angemessenheitsbeschlusses (Art. 13 Abs. 1 lit. f) DSGVO oder Art. 14 Abs. 1 lit. f) DSGVO) informiert werden?
- Regelmäßige Überprüfung: Wurde das US-Unternehmen zwischenzeitlich von Liste entfernt?
-
Rechte der betroffenen Personen nach dem DPF
US-Unternehmen müssen nach dem DPF ebenfalls selbst gegenüber betroffenen Personen bestimmte Informationspflichten erfüllen (Annex I II. 1. a. DPF). Beispielsweise müssen betroffene Personen darüber informiert werden, dass das Unternehmen am EU-U.S. DPF teilnimmt, welche Daten es verarbeitet sowie über die Zwecke der Datenverarbeitung, über mögliche Empfänger der Daten, Beschwerdekanäle und über Auskunftsrechte. Der Hinweis muss in klarer Sprache und deutlich sichtbar und grundsätzlich vor der ersten Datenverarbeitung erfolgen (Annex I II. 1. b. DPF). Es bleibt abzuwarten, wie US-Unternehmen Informationspflichten oder auch Auskunftsrechte der betroffenen Personen umsetzen werden und ob dies auch Auswirkungen auf die in der EU ansässigen Unternehmen haben wird. Ggf. wird man sich versuchen vertraglich darauf zu einigen, dass ein europäisches Unternehmen zumindest einen Teil der Informationspflichten für das US-Unternehmen erfüllt. Dies kann insbesondere relevant sein, wenn nur das in der EU ansässige Unternehmen direkten Kontakt zu Betroffenen hat.
Das DPF sieht eine Ausübung der Rechte der betroffenen Personen gegenüber dem US-Unternehmen vor (Annex I III. 8. a. DPF). Auch zu Zeiten der Gültigkeit vom Privacy-Shield-Abkommen riet beispielsweise der LfDI Baden-Württemberg betroffenen Personen sich bezüglich der Ausübung ihrer Rechte zunächst direkt an das US-Unternehmen zu wenden (LfDI Baden-Württemberg, Überblick EU-U.S. Privacy Shield, Link).
Weiteres Verfahren
Die Europäische Kommission hat den Entwurf dem EDSA vorgelegt. Dieser gibt eine Stellungnahme ab, welche jedoch nicht verbindlich ist. Im weiteren Verfahren findet eine Abstimmung in einem Ausschuss statt, der sich aus Vertretern der Mitgliedstaaten zusammensetzt (Komitologieverfahren). Wenn der Ausschuss eine ablehnende Stellungnahme erteilen sollte, dann erlässt die Kommission den Angemessenheitsbeschluss zunächst nicht. Daran anknüpfend würde in so einem Fall aber trotzdem grundsätzlich gemäß dem in der Komitologie-Verordnung geregelten Verfahren der Erlass des Angemessenheitsbeschlusses möglich bleiben. Es gilt zum jetzigen Zeitpunkt abzuwarten, ob der Ausschuss überhaupt eine ablehnende Stellungnahme erteilen wird.
Empfehlung für Unternehmen
Bis zum endgültigen Erlass des Beschlusses durch die Europäische Kommission müssen also weiterhin andere Transfermechanismen – wie beispielsweise Standardvertragsklauseln, bei denen ein Transfer Impact Assessment durchgeführt werden muss – verwendet werden. Sobald der neue Angemessenheitsbeschluss gültig ist, kann dieser unter Beachtung der oben beschriebenen Punkte als Grundlage für eine Datenübermittlung in die USA dienen. Dabei dürfen Unternehmen auf dessen Wirksamkeit vertrauen, sollten aber die oben in der Checkliste benannten Themenpunkte beachten.
Passend zu diesem Thema, möchten wir Sie auf unser Seminar Piltz Legal Update am 17. März 2023 in Nürnberg mit dem Titel “Aktuelles zu Drittstaatentransfers“ hinweisen.
News
FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)
FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)
- Worum ging es (Kurzfassung)?
Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 5.12.2023 (C-807/21) die Vorlagefragen des Kammergerichts Berlin (KG) in Bezug auf das im Oktober 2019 durch die Berliner Aufsichtsbehörde verhängte Bußgeld iHv. 14,5 Millionen Euro gegen die Deutsche Wohnen SE beantwortet
Europäischer Datenschutzausschuss: neue (strenge) Leitlinien zum technischen Anwendungsbereich der "Cookie-Vorgaben" (§ 25 TTDSG)
Der Europäische Datenschutzausschuss (EDSA) hat am 15.11.2023 eine Leitlinie zum technischen Anwendungsbereich von Art. 5 (3) der Datenschutzrichtlinie für die elektronische Kommunikation veröffentlicht. Die Leitlinie soll klarstellen, welche Trackingtechnologien von der ePrivacy-Richtlinie (ePrivacyRL) konkret erfasst und damit grundsätzlich einwilligungsbedürftig sind. In Deutschland wurden die Anforderungen der ePrivacyRL in § 25 TTDSG umgesetzt.
Entscheidung des EuGH zur FIN und generellen Aspekten des Personenbezugs
Die Folgen der Entscheidung des EuGH in der Rs. C‑319/22 vom 9. November 2023 werden sicherlich noch lange in der Datenschutz-Szene diskutiert. Es ist in jedem Fall jetzt schon klar, dass das Urteil in der Automobilbranche und daran angrenzende Sektoren aber auch allgemein im Bereich Datenschutz große Wellen schlagen wird. Doch scheint unklar zu sein, ob das auch gerechtfertigt ist oder im Wesentlichen dieselben Aspekte wie vor der Entscheidung bei der Klärung der Frage nach dem Vorliegen eines Personenbezugs zu beachten sind. In dem vom EuGH behandelten Fall wird jedenfalls erst durch das Landgericht Köln entschieden werden, ob für die Fahrzeughersteller und unabhängigen Wirtschaftsakteure die FIN ein personenbezogenes Datum ist. Im EuGH-Urteil selbst findet man die Antwort jedenfalls noch nicht direkt und eindeutig
EU Data Act verabschiedet – worauf müssen sich die Unternehmen einstellen?
Am 9. November 2023 hat das Europäische Parlament den Data Act final verabschiedet. Dieser soll den Zugang und die Nutzung von Daten erleichtern, die durch Nutzer bei Inanspruchnahme von Produkten und Diensten generiert werden und umfasst sämtliche Nutzerdaten - unabhängig vom etwaigen Personenbezug. Die Auswirkungen sind aus diesem Grund weitreichend und den Unternehmen werden viele Pflichten auferlegt, insbesondere was die Einrichtung von Zugangsmöglichkeiten zu Daten für die Kunden sowie deren Möglichkeit zur Weitergabe an Dritte angeht.
LDA Brandenburg: BSI-Vorgaben zur IT-Sicherheit als „Stand der Technik“ nach Art. 32 DSGVO
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA) hat am 10. November 2021 gegen einen Website-Betreiber eine Verwarnung nach Art. 58 Abs. 2 lit. b) DSGVO ausgesprochen. Grund für die Verwarnung war insbesondere die Bereitstellung einer Upload-Funktion für Bilder, die nicht ausreichend gesichert war und über die es Angreifern möglich gewesen war, eine Kundendatenbank auszulesen.
Die Behörde sah darin eine Verletzung der Art. 25 Abs. 1 und Art. 32 Abs. 1 lit. b) DSGVO. Interessant an der Behördenentscheidung ist auch, dass diese einen Zusammenhang zwischen Art. 25 und Art. 32 DSGVO (Stand der Technik) und dem BSI-Grundschutz herstellt (hierzu sogleich mehr).
EuGH hat wieder zum Auskunftsanspruch entschieden – Zusammenfassung des Urteils in der Rs. C-307/22 vom 26. Oktober 2023
Während das Urteil in der Rs. C‑307/22 sich zwar mit dem speziellen Arzt-Patienten-Verhältnis beschäftigt, sind darin dennoch auch zahlreiche Aussagen enthalten, die allgemein für Erfüllung des Auskunftsanspruchs durch Unternehmen relevant sind. Das Urteil wird bereits munter in der Datenschutz-Szene diskutiert. Das ist auch deshalb verständlich, weil der EuGH einige hoch umstrittene Aspekte zum besonders praxisrelevanten Betroffenenrecht geklärt hat. In diesem Newsbeitrag finden Sie eine Zusammenfassung der aus unserer Sicht relevantesten Aussagen in der Entscheidung des EuGH sowie eine kurze Einschätzung zu den Folgen für die Praxis.