News

Was müssen europäische Unternehmen bei Beschluss des Trans-Atlantic-Data- Privacy-Framework beachten?

Am 13. Dezember 2022 hat die Europäische Kommission den Entwurf eines Angemessenheitsbeschlusses für die USA mit der Bezeichnung EU-U.S.-Data-Privacy-Framework („DPF“) veröffentlicht und das Verfahren zu dessen Annahme eingeleitet (Pressemitteilung der Kommission). Die Fachgruppen des Europäischen Datenschutzausschusses (EDSA) erarbeiten derzeit den Entwurf einer Stellungnahme. Diese Stellungnahme soll (laut dem Protokoll der Sitzung des EDSA vom 17. Januar 2023) am 28. Februar 2023 durch den EDSA verabschiedet werden.

Sobald der Angemessenheitsbeschluss wirksam ist, kann eine Übermittlung personenbezogener Daten von Stellen in der EU an zertifizierte Organisationen in den Vereinigten Staaten erfolgen, ohne dass für solche Übermittlungen weitere Zulässigkeitsvoraussetzungen aus Kapitel V DSGVO gelten. Datentransfers in die USA müssen dann nicht mehr auf die zurzeit häufig verwendeten Transfermechanismen der Standardvertragsklauseln oder Binding Corporate Rules gestützt werden. Die zwei vorangegangenen Angemessenheitsbeschlüsse zu den USA (Save Harbour und Privacy Shield) wurden beide vom EuGH für ungültig erklärt.

Mit Inkrafttreten des neuen DPF können Unternehmen zunächst auf dessen Wirksamkeit vertrauen. Denn wenn die Kommission einen solchen Angemessenheitsbeschluss erlässt, dann ist dieser unmittelbar anwendbar und rechtsverbindlich. Weder nationale Gerichte noch Datenschutzaufsichtsbehörden sind dazu befugt, die Ungültigkeit eines Angemessenheitsbeschlusses festzustellen. Diese Kompetenz liegt alleine beim EuGH. Entsprechend hat sich der EuGH in seinem Safe-Harbour-Urteil geäußert (Az. C-362/14). Bis der Gerichtshof eine mögliche Entscheidung bezüglich des neuen Angemessenheitsbeschlusses trifft, wird es zwangsläufig wieder einige Zeit dauern. Fernab der politischen Dimension ist es also aus rechtlicher Sicht für Unternehmen wieder deutlich einfacher, Daten in die USA zu übermitteln, wenn der Angemessenheitsbeschluss getroffen werden wird.

Auch Unternehmen aus der EU haben Handlungsbedarf, sobald der Beschluss getroffen wurde. Dies betrifft beispielsweise Anpassungen an Datenschutzhinweisen. Allgemein stellt sich die Frage, welche ToDos in der EU ansässige Unternehmen treffen. Idealerweise machen sich Unternehmen jetzt schon dazu Gedanken, um später rechtzeitig und einfacher alle erforderlichen Handlungsschritte vorzunehmen.

Legt der Entwurf Verpflichtungen für europäische Unternehmen fest?

Der Entwurf selbst legt keine direkten Verpflichtungen für europäische Unternehmen fest, die Daten auf Grundlage des DPF in die USA übermitteln. Unternehmen aus der EU sollten jedoch bei der Auswahl von US-Geschäftspartner einige aus dem Entwurf hervorgehende Besonderheiten beachten (z.B. DPF-Zertifizierung des US-Unternehmens, hierzu sogleich ausführlich). Außerdem sollten europäische Unternehmen immer vor der Übermittlung personenbezogener Daten sicherstellen, dass die durch Übermittlung erfolgende Datenverarbeitung im Einklang mit den außerhalb von Kapitel V in der DSGVO geregelten Anforderungen erfolgt. Dies betrifft unter anderem das Vorhandensein einer Rechtsgrundlage nach Art. 6 DSGVO (und ggf. Art. 9 Abs. 2 DSGVO) sowie die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO (z.B. Zweckbindung, Transparenz, Datenminimierung). Auch müssen Verantwortliche ihren Informationspflichten gegenüber den betroffenen Personen nachkommen. So ist beispielsweise über Empfänger der personenbezogenen Daten in den USA sowie über das Vorhandensein des Angemessenheitsbeschlusses zu informieren (Art. 13 Abs. 1 lit. e) und f) DSGVO oder Art. 14 Abs. 1 lit. e) und f) DSGVO).

Was müssen europäische Unternehmen beachten, wenn Sie Daten an US-Unternehmen auf Grundlage des DPF übermitteln möchten?

US-Unternehmen, welche sich zur Einhaltung einer Reihe von Datenschutzgrundsätzen verpflichtet haben, können sich nach dem DPF zertifizieren lassen. Die Grundsätze umfassen unter anderem Zweckbindung, Transparenz und Datensicherheit. Die Zertifizierung ist freiwillig. Zertifizierte Unternehmen sind jedoch zur Einhaltung der Grundsätze verpflichtet (Annex I I. 2. DPF, ErwGr 45 DPF). Das US-Handelsministerium veröffentlicht – wie auch schon zum Privacy Shield – eine Liste, die Unternehmen aufführt, die sich gegenüber dem Ministerium selbst zertifiziert und zur Einhaltung der Grundsätze verpflichtet haben („the Data Privacy Framework List“; Annex I I. 3. und Annex I III. 6. DPF). Unternehmen aus der EU sollten Einsicht in diese Liste nehmen, bevor sie Daten an ein US-Unternehmen übermitteln, um sicherzustellen, dass das jeweilige Unternehmen auch wirklich zertifiziert ist. Auch sollte geprüft werden, ob die Zertifizierung die Kategorie der in Rede stehenden Daten umfasst (z.B. HR-Daten) (so auch F.A.Q. zum Privacy Shield-Abkommen der Artikel 29 Datenschutzgruppe, Link). Da US-Unternehmen die Zertifizierung jährlich erneuern müssen, sollte die Liste in regelmäßigen Abständen noch einmal geprüft werden. In der Praxis wird es sich anbieten, einmal jährlich zu prüfen, ob alle der Empfänger der Daten in den USA, an die Übermittlungen auf Grundlage des DPF erfolgen, noch zertifiziert sind.

Checkliste der ToDos für europäische Unternehmen

Aus den oben angesprochenen Aspekten lässt sich eine Art Checkliste erstellen. Die folgenden Themenpunkte sollten von europäischen Unternehmen bei Datenübermittlugen auf Grundlage des DPF beachtet werden:

      • Ist das Unternehmen nach dem DPF zertifiziert? Per Einsicht in Liste des US-Handelsministeriums prüfen.
      • Umfasst die Zertifizierung des US-Unternehmens die Kategorie der zu verarbeitenden Daten?
      • Existiert eine Rechtsgrundlage für die Datenverarbeitungen aus Art. 6 DSGVO und ggf. aus Art. 9 Abs. 2 DSGVO?
      • Werden die Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 DSGVO eingehalten und ist dies nachweisbar?
      • Wurden Anpassungen an den Datenschutzhinweisen vorgenommen, sodass Betroffene zusätzlich zu den Empfängern (Art. 13 Abs. 1 lit. e) DSGVO oder Art. 14 Abs. 1 lit. e) DSGVO) in den USA auch über das Vorhandensein des Angemessenheitsbeschlusses (Art. 13 Abs. 1 lit. f) DSGVO oder Art. 14 Abs. 1 lit. f) DSGVO) informiert werden?
      • Regelmäßige Überprüfung: Wurde das US-Unternehmen zwischenzeitlich von Liste entfernt?

Rechte der betroffenen Personen nach dem DPF

US-Unternehmen müssen nach dem DPF ebenfalls selbst gegenüber betroffenen Personen bestimmte Informationspflichten erfüllen (Annex I II. 1. a. DPF). Beispielsweise müssen betroffene Personen darüber informiert werden, dass das Unternehmen am EU-U.S. DPF teilnimmt, welche Daten es verarbeitet sowie über die Zwecke der Datenverarbeitung, über mögliche Empfänger der Daten, Beschwerdekanäle und über Auskunftsrechte. Der Hinweis muss in klarer Sprache und deutlich sichtbar und grundsätzlich vor der ersten Datenverarbeitung erfolgen (Annex I II. 1. b. DPF). Es bleibt abzuwarten, wie US-Unternehmen Informationspflichten oder auch Auskunftsrechte der betroffenen Personen umsetzen werden und ob dies auch Auswirkungen auf die in der EU ansässigen Unternehmen haben wird. Ggf. wird man sich versuchen vertraglich darauf zu einigen, dass ein europäisches Unternehmen zumindest einen Teil der Informationspflichten für das US-Unternehmen erfüllt. Dies kann insbesondere relevant sein, wenn nur das in der EU ansässige Unternehmen direkten Kontakt zu Betroffenen hat.

Das DPF sieht eine Ausübung der Rechte der betroffenen Personen gegenüber dem US-Unternehmen vor (Annex I III. 8. a. DPF). Auch zu Zeiten der Gültigkeit vom Privacy-Shield-Abkommen riet beispielsweise der LfDI Baden-Württemberg betroffenen Personen sich bezüglich der Ausübung ihrer Rechte zunächst direkt an das US-Unternehmen zu wenden (LfDI Baden-Württemberg, Überblick EU-U.S. Privacy Shield, Link).

Weiteres Verfahren

Die Europäische Kommission hat den Entwurf dem EDSA vorgelegt. Dieser gibt eine Stellungnahme ab, welche jedoch nicht verbindlich ist. Im weiteren Verfahren findet eine Abstimmung in einem Ausschuss statt, der sich aus Vertretern der Mitgliedstaaten zusammensetzt (Komitologieverfahren). Wenn der Ausschuss eine ablehnende Stellungnahme erteilen sollte, dann erlässt die Kommission den Angemessenheitsbeschluss zunächst nicht. Daran anknüpfend würde in so einem Fall aber trotzdem grundsätzlich gemäß dem in der Komitologie-Verordnung geregelten Verfahren der Erlass des Angemessenheitsbeschlusses möglich bleiben. Es gilt zum jetzigen Zeitpunkt abzuwarten, ob der Ausschuss überhaupt eine ablehnende Stellungnahme erteilen wird.

Empfehlung für Unternehmen

Bis zum endgültigen Erlass des Beschlusses durch die Europäische Kommission müssen also weiterhin andere Transfermechanismen – wie beispielsweise Standardvertragsklauseln, bei denen ein Transfer Impact Assessment durchgeführt werden muss – verwendet werden. Sobald der neue Angemessenheitsbeschluss gültig ist, kann dieser unter Beachtung der oben beschriebenen Punkte als Grundlage für eine Datenübermittlung in die USA dienen. Dabei dürfen Unternehmen auf dessen Wirksamkeit vertrauen, sollten aber die oben in der Checkliste benannten Themenpunkte beachten.

Passend zu diesem Thema, möchten wir Sie auf unser Seminar Piltz Legal Update am 17. März 2023 in Nürnberg mit dem Titel “Aktuelles zu Drittstaatentransfers“ hinweisen.

Rechtsanwalt, Partner
Dr. Carlo Piltz
Rechtsanwalt, Partner
Dr. Carlo Piltz

Zurück

News

Konkretes vom EuGH zum immateriellen Schadenersatz bei Weitergabe intimer Informationen – nur 2.000 EUR Schadenersatz zugesprochen

In der Praxis stellt sich häufig die Frage, in welchen Fällen und in welcher Höhe ein Anspruch auf Ersatz eines immateriellen Schadens bei unzulässigen Datenverarbeitungen besteht. In Deutschland existieren bereits massenhaft Urteile aus verschiedenen Rechtsbereichen hierzu. Jedoch gibt es bislang keine konkreten Aussagen des EuGH zur Höhe eines Schadenersatzanspruchs.

Erneute Auszeichnung durch Legal 500 Deutschland: Dr. Carlo Piltz einer der führenden Namen im Datenschutzrecht

Das dritte Jahr in Folge wurde Dr. Carlo Piltz in der aktuellen Ausgabe des The Legal 500 Germany als einer der führenden Namen im Datenschutz erwähnt.

EuGH-Urteil: Haftung des Verantwortlichen für den Auftragsverarbeiter – was gilt es zu beachten?

Mit der Entscheidung zur Rechtssache C-683/21 (Covid-App Litauen) hat der EuGH am 5. Dezember 2023 ein wichtiges Urteil gefällt, in dem es neben der Frage der Verantwortlichkeit auch um die (Bußgeld)Haftung des Verantwortlichen für den Auftragsverarbeiter geht. Letzteren Aspekt möchten wir in diesem Beitrag genauer darstellen.

Entscheidungen des EuGH zum immateriellen Schadensersatzanspruch und der Geeignetheit von technischen und organisatorischen Maßnahmen

Der EuGH hat am 14. Dezember 2023 zwei maßgebliche Entscheidungen getroffen, die zum einen die Anforderungen an die technischen und organisatorischen Maßnahmen (TOMs) im Sinne von Art. 32 DSGVO und zum anderen die Anforderungen zur Geltendmachung von immateriellen Schadenersatzansprüchen gemäß Art. 82 DSGVO betreffen.

FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)

FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)

  1. Worum ging es (Kurzfassung)?

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 5.12.2023 (C-807/21) die Vorlagefragen des Kammergerichts Berlin (KG) in Bezug auf das im Oktober 2019 durch die Berliner Aufsichtsbehörde verhängte Bußgeld iHv. 14,5 Millionen Euro gegen die Deutsche Wohnen SE beantwortet

Europäischer Datenschutzausschuss: neue (strenge) Leitlinien zum technischen Anwendungsbereich der "Cookie-Vorgaben" (§ 25 TTDSG)

Der Europäische Datenschutzausschuss (EDSA) hat am 15.11.2023 eine Leitlinie zum technischen Anwendungsbereich von Art. 5 (3) der Datenschutzrichtlinie für die elektronische Kommunikation veröffentlicht. Die Leitlinie soll klarstellen, welche Trackingtechnologien von der ePrivacy-Richtlinie (ePrivacyRL) konkret erfasst und damit grundsätzlich einwilligungsbedürftig sind. In Deutschland wurden die Anforderungen der ePrivacyRL in § 25 TTDSG umgesetzt.