EU-US DPF: Steht der Schutz unserer Daten in den USA auf dem Spiel?
Wer zur Verarbeitung personenbezogener Daten Dienste aus den USA einsetzt, muss wissen, dass diese direkt auf Servern in den Vereinigten Staaten verarbeitet werden oder zumindest US-Behörden grundsätzlich Zugriff auf diese Daten erhalten können.
Data Privacy Framework (DPF)
Um die Rechte von EU-Bürgerinnen und -Bürgern zu schützen, deren personenbezogene Daten in den USA verarbeitet werden, und auch die Durchsetzung dieser Rechte zu gewährleisten, wurde das EU-US Data Privacy Framework (DPF) entwickelt. Ein entscheidendes Element dieses Frameworks ist das Privacy and Civil Liberties Oversight Board (PCLOB). Dieses unabhängige Aufsichtsgremium soll die Einhaltung und Umsetzung der im Data Privacy Framework festgelegten Rechte und Pflichten überwachen.
Kürzlich hat das Weiße Haus jedoch die demokratischen Mitglieder des PCLOB entlassen. Dadurch ist das Gremium aktuell nicht arbeitsfähig, und es ist unklar, ob sowie wann neue Mitglieder ernannt werden. Infolgedessen ist die Wirksamkeit des Data Privacy Frameworks zum aktuellen Zeitpunkt fraglich.
Angemessenheitsbeschluss zum DPF
Ob das Data Privacy Framework weiterhin eine Rechtsgrundlage für den Datentransfer in die USA darstellen kann, liegt jetzt in den Händen der EU-Kommission. Denn gemäß Art. 45 Abs. 4 DSGVO ist sie verpflichtet, laufend zu beobachten, welche Entwicklungen in Drittländern den zuvor erteilten Angemessenheitsbeschluss (und damit auch das Data Privacy Framework) beeinflussen könnten.
Konkret schreibt Art. 3 des Angemessenheitsbeschlusses zum Data Privacy Framework vor, dass die EU-Kommission regelmäßig bewertet, ob das Datenschutzniveau in den USA nach wie vor den Vorgaben der EU entspricht. Bei der nächsten Überprüfung wird insbesondere zu klären sein, ob das PCLOB seine Aufgaben noch ausreichend erfüllen kann – da die Mehrzahl seiner Mitglieder entlassen wurde.
Was bedeutet das für Unternehmen?
Die aktuelle innenpolitische Lage in den USA ist unübersichtlich, und es lassen sich kaum belastbare Prognosen über das weitere Vorgehen der Regierung ableiten. Die bisherigen Handlungen der neuen US-Regierung wecken zumindest Zweifel daran, ob sie an dem Fortbestand internationaler Übereinkommen interessiert ist.
Für Unternehmen ergibt sich daraus die Notwendigkeit, ihre bisherige Praxis beim Einsatz von US-Dienstleistern zu überdenken und folgende Schritte ins Auge fassen:
- Überprüfung bestehender US-Dienstleister:
Identifizieren Sie Dienstleister mit Sitz in den USA - Alternative Rechtsgrundlagen:
Standarddatenschutzklauseln (SCCs) mit US-Dienstleistern abschließen. Diese setzen allerdings eine Datentransfer-Folgenabschätzung voraus. - Berücksichtigung alternativer Anbieter:
Erwägen Sie Dienstleister aus anderen, sicheren Drittländern oder direkt aus dem EU-/EWR-Raum.
Kemal Webersohn, Geschäftsführer
Weitere Artikel des Autoren
- Social Engineering – Datenschutz am Telefon
- Ergebnis einer Kurzüberprüfung der Berliner Datenschutzbeauftragten zu Videokonferenzsystemen
- Schrems II Urteil – Jetzt prüfen die Datenschutzbehörden
- Zeitplan des EU AI Act: Alle Deadlines auf einen Blick
- Der Betriebsrat und der Datenschutz – wohin geht die Reise?
- Anonymisierende Wirkung der Pseudonymisierung