Datenaustausch mit USA vereinfacht
Wir habenschon öfter zum Thema „Datenübermittlung in Drittländer“ (z.B. in die USA) informiert. In dieser unendlichen Geschichte gibt es jetzt ein weiteres Kapitel:
Es ging schneller als gedacht und es wird (wieder) etwas leichter, mit Stellen in den USA zusammenzuarbeiten: Die EU-Kommission hat das „EU-U.S.-Transatlantic Data Privacy Framework“ anerkannt.
Was bedeutet das?
Wenn sich die Daten-Empfänger in den USA den Regeln dieses Frameworks unterwerfen und das auch offiziell dokumentieren, gilt das als ausreichende Rechtsgrundlage für den Drittlandtransfer. Dann können Sie auf zusätzliche Maßnahmen wie EU-Standardvertragsklauseln (SCC) und Transfer Impact Assessment (TIA) verzichten.
Wen betrifft’s?
Welche US-Stellen sich diesem Framework unterwerfen, können Sie auf der Seite dataprivacyframework.gov nachschlagen. Dazu gehört auch Microsoft, so dass der Einsatz von Microsoft 365 jetzt rechtlich erheblich vereinfacht ist.
Wenn eine Stelle dort nicht genannt ist, bleibt jedoch alles beim Alten (SCC und TIA sind dann weiterhin erforderlich). Das gilt auch für Datenempfänger in anderen Drittländern.
Übrigens: Eine Übersicht, welche Rechtsgrundlagen wann zur Anwendung kommen, erhalten Sie in unserem aktuellen Praxisleitfaden zum Drittlandtransfer (erhältlich für Kunden im Webbereich oder auf Nachfrage).
Vorsicht bei Blick in die Zukunft
Es wird nicht lange dauern bis dieser neue Angemessenheitsbeschluss durch Gerichte überprüft wird. Und es könnte durchaus passieren, dass er dann ebenso für unwirksam erklärt wird wie seine beiden Vorgänger-Abkommen (Safe Harbor und Privacy Shield). Für diesen Fall könnten Sie schon jetzt vorsorgen und weiterhin (zusätzlich) mit SCC und TIA arbeiten.
Was jetzt zu tun ist
Bestehende Verträge müssen nicht zwingend angepasst werden. Bei zukünftigen Vertragsabschlüssen wird Ihr Vertragspartner die neue Möglichkeit wahrscheinlich automatisch berücksichtigen.
Wenn das neue Framework zum Einsatz kommt, denken Sie bitte an folgendes:
- In den Datenschutz-Informationen für die Betroffenen muss das Framework genannt werden (als Rechtsgrundlage für die Datenübermittlung ins Drittland)
- Im Verzeichnis der Verarbeitungstätigkeiten (foxondo) muss ebenfalls die richtige Angabe zur Rechtsgrundlage (Angemessenheitsbeschluss) dokumentiert sein.
Zusammenfassung:
Das neue Transatlantic Data Privacy Framework kann den Datenaustausch mit Stellen in den USA erleichtern. Dann müssen die Betroffenen darüber in den Datenschutz-Informationen unterrichtet und die Datenschutz-Dokumentation aktualisiert werden.