Sorgt das Data Privacy Framework für Klarheit?

Ist das Data Privacy Framework (DPF) die Lösung bei der Datenübertragung in die USA und die dortige Datenverarbeitung? Oder nur eine weitere Etappe auf der Datenschutzachterbahn zwischen EU, USA und dem Europäischen Gerichtshof (EuGH)? Aber der Reihe nach: Am 10. Juli traf die EU-Kommission eine Entscheidung zur Datenübertragung in die USA und fasste einen Angemessenheitsbeschluss. Diese bedeutet konkret, dass der Datentransfer in die USA von der EU-Spitze um Kommissionspräsidentin Ursula von der Leyen als unbedenklich eingestuft wird. Voraussetzung: Die US-Unternehmen oder -Organisationen besitzen eine gültige DPF-(Selbst-) Zertifizierung. „Die EU zeigt mit diesem Beschluss, dass sie Geschäftshemmnisse reduzieren will. Wenn ich an die Schrems-Urteile denke, die die früheren Regelungen zur Datenübermittlung pulverisiert haben, bleibt die Frage, wie nachhaltig dieser Beschluss ist.“, erklärt UIMC-Datenschutzexperte Dr. Heiko Haaz. Was sollten Unternehmen also tun, um sich nachhaltig datenschutzkonform aufzustellen?  

Hintergrund: Die DSGVO soll das Datenschutzniveau erhöhen. Gerade bei der Datenverarbeitung mit Kooperationspartnern außerhalb der EU spüren Unternehmen die Veränderungen. Denn die DSGVO verlangt, dass die Verantwortlichen oder Auftragsverarbeiter bei einer Datenübertragung in Drittstaaten prüfen, ob die allgemeinen Voraussetzungen der DSGVO erfüllt sind. Auf einen der wichtigsten Handelsräume der EU-Staaten, die USA, hat dies erhebliche Auswirkungen. Die Rechtsgrundlage dafür bildet Kapitel 5 der DSGVO. In Artikel 45 heißt es: „Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung."

Data Privacy Framework: Aktuell kann mit sämtlichen US-Firmen, die über eine DPF-Zertifizierung verfügen, in Sachen Datenverarbeitung kooperiert werden. Ob dieser Zustand von langer Dauer ist, wird in Zweifel gezogen – auch vom UIMC-Team. Erste Klagen auf Nichtigerklärung des Data Privacy Framework (DPF), des Angemessenheitsbeschlusses über den EU-Datenschutzrahmen vom 10. Juli 2023 sind bereits eingereicht. Auch die Organisation ‚None Of Your Business‘ des Anwalts Max Schrems hat Klage vor dem EuGH angekündigt. Die Organisation betont, dass der DPF-Schutzrahmen nur eine Kopie des Privacy Shield ist, der 2020 vom EuGH verworfen wurde.

Problemstellung: Unternehmen, die sich nun auf den DPF-Angemessenheitsbeschluss verlassen und ihr Geschäftsmodell darauf gründen, können schwer getroffen werden. Sollte die EuGH-Richterschaft tatsächlich das DPF-Schutzniveau verwerfen, entfällt am Tag der Gerichtsentscheidung die Datenschutzkonformität. Die Datenübermittlung und die Datenverarbeitung in die USA wären von einem Tag zum anderen bei Unternehmen gekappt.

Empfehlung: Was ist zu tun? „Wir raten, präventiv zu handeln. Die beste Prävention sind Standardvertragsklauseln (Standard Contractual Clauses/SCC; Anm. der Redaktion), die zwar zunächst mehr Aufwand bedeuten, aber langfristig Sicherheit und Verlässlichkeit für die eigenen Geschäfte über den Atlantik bringen“, erklärt Dr. Heiko Haaz. Übrigens: Standardvertragsklauseln machen ein ganzes Stück unabhängig von EuGH-Entscheidungen. „Leider stoßen die SCC bei US-Unternehmen nicht auf Gegenliebe, so dass es in finaler Konsequenz auf die Machtposition von Auftraggeber und Dienstleister ankommt, ob die Vertragsklauseln vom US-Unternehmen unterschrieben werden. Aber jeder Versuch macht kluch,“ erwähnt Dr. Haaz mit einem Augenzwinkern.

Über die UIMC Dr. Vossbein GmbH & Co. KG

Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.

Firmenkontakt und Herausgeber der Meldung:

UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de

Ansprechpartner:
Dr. Jörn Voßbein
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel