Sorgen Sie lieber vor: Unsere Handlungsempfehlungen
Es könnte sein, dass wieder härtere Zeiten anbrechen im transatlantischen Datenschutz. US-Präsident Trump erweckt im Moment den Eindruck, den bisherigen Rechtsrahmen nicht unbedingt stärken zu wollen – ganz im Gegenteil. Das hätte dann auch Auswirkungen auf den betrieblichen Datenschutz. Noch ist Zeit, sich in Ruhe auf mögliche Veränderungen vorzubereiten.
Was ist der aktuelle Anlass zur Besorgnis?
Trump lässt zahlreiche Executive Orders seines Vorgängers überprüfen, darunter auch diejenigen, auf die sich das EU-U.S. Data Privacy Framework (TADPF) maßgeblich stützt.
Außerdem hat er bereits Mitglieder eines eigentlich unabhängigen US-Kontrollgremiums fristlos entlassen, das für die Einhaltung des TADPF mitverantwortlich ist. Und nicht zuletzt kündigte er an, (Datenschutz-) Bußgelder gegen US-Unternehmen als Erpressung ansehen und sich deswegen weitere Zölle und andere Gegenmaßnahmen offen halten zu wollen.
Sollte die US-Regierung diese Vorhaben tatsächlich umsetzen, könnten die EU-Kommission oder der Europäische Gerichtshof gezwungen sein, das EU-U.S. Data Privacy Framework aufzuheben. In diesem Fall würde eine viel-genutzte Rechtsgrundlage für Datenübermittlungen in die USA wegfallen, vermutlich ohne eine Übergangsfrist.
Was bedeutet das für Ihr Unternehmen?
Grundsätzlich wird für Datenübermittlungen in die USA eine zusätzliche Rechtsgrundlage benötigt. Dazu wird momentan vor allem zurückgegriffen auf
- den Abschluss von EU-Standardvertragsklauseln (SCC) – eine vergleichsweise sichere Option, die bevorzugt genutzt werden sollte,
- oder der Selbst-Zertifizierung von US-Datenempfängern für das TADPF, wodurch sie ein angemessenes Datenschutzniveau zusichern.
Wenn nun das TADPF aufgekündigt werden sollte (wie es auch schon Jahre zuvor bei dessen Vorgängern Privacy Shield und Safe Harbour der Fall war), entstünde eine Lücke und alle darauf basierenden Datenübermittlungen wären rechtswidrig.
Wie kann man jetzt vorsorgen?
Identifizieren Sie die problematischen Datenübermittlungen in die USA und versuchen Sie, diese auf EU-Standardvertragsklauseln umzustellen:
- Dazu müssen Sie zunächst alle Verträge finden, die mit US-Unternehmen abgeschlossen worden sind und die auf der Rechtsgrundlage des Data Privacy Frameworks beruhen. Dabei unterstützt Sie Ihre (hoffentlich gut geführte) Dokumentation in foxondo.
- Prüfen Sie, ob mit diesen Unternehmen ein Zusatzvertrag abgeschlossen werden kann, der die EU-Standardvertragsklauseln enthält.
Das Problem: Je größer der Vertragspartner, desto geringer eventuell die Bereitschaft, auf solche vermeintlichen „individuellen Kundenwünsche“ einzugehen.
Es könnte daher auch eine Überlegung wert sein, den Dienstleister zu wechseln. Anbieter aus der EU müssen automatisch das hohe Datenschutzniveau der DSGVO einhalten. Einen Überblick über Alternativen für digitale Dienstleistungen und Cloud-Produkte erhalten Sie z.B. hier: https://european-alternatives.eu/de
Und wenn das TADPF tatsächlich wegfällt?
Als wäre es nicht schon kompliziert genug, verlangt der Europäische Gerichtshof seit geraumer Zeit die Durchführung einer zusätzlichen Risikobewertung. Für Datenübermittlungen in Drittländer wie die USA muss bei Standardvertragsklauseln ein Transfer Impact Assessment (TIA) vorliegen. Dieses TIA muss zusätzlich erstellt bzw. neu bewertet werden, falls das Data Privacy Framework außer Kraft treten sollte.
Zusammenfassung
Behalten Sie den Datenschutz bei US-Unternehmen im Auge. Soweit Datenübermittlungen auf dem EU-U.S. Data Privacy Framework basieren, prüfen Sie, ob jetzt zusätzlich die EU-Standardvertragsklauseln abgeschlossen werden können.