DSK-Anwendungshinweise zum EU-US Data Privacy Framework (DPF)

Publiziert am 15. September 2023 von Günter Born

Die Datenschutzkonferenz (DSK) hat, als Gremium der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, zum 4. September 2023 einige Anwendungshinweise zum EU-US Trans-Atlantic Data Privacy Framework (DPF) veröffentlicht. Diese geben Handreichungen, was Firmen und Behörden beachten müssen, wenn sie auf Grund des EU-Angemessenheitsbeschlusses Daten im Rahmen des DPF zu amerikanischen Anbietern übertragen möchten. Unter anderem müssen die US-Anbieter zertifiziert sein und diese Zertifizierung ist zyklisch zu überprüfen.

Anzeige

Darum geht es beim DPF

Die Verarbeitung persönlicher Daten von EU-Bürgern im Ausland erfordert laut Datenschutzgrundverordnung (DSGVO, dass  in den verarbeitenden Ländern der gleiche Rechtsschutz wie innerhalb der EU für betroffene Bürger gelten. Die EU-Kommission hat einzelne Länder durch einen sogenannten Angemessenheitsbeschluss in diese Gruppe entsprechender Staaten eingestuft.

Mit den USA, die mehr oder weniger die IT-Angebote für europäische Firmen bestimmen, wurde dies von der EU-Kommission mit den Datenschutzabkommen "Safe Harbor" und dann "Privacy Shield" versucht. Die ersten beiden Datenschutzabkommen, mit denen der Datentransfer in die USA geregelt werden sollte, wurden vom Europäischen Gerichtshof (EuGH) als unzulässig gekippt (siehe Links am Artikelende).

Zum 10. Juli 2023 hat die EU-Kommission den erwarteten Angemessenheitsbeschluss für das EU-U.S. Datentransferabkommens "Trans-Atlantic Data Privacy Framework" (DPF) gefällt (siehe EU-Kommission fällt Angemessenheitsbeschluss für EU-U.S. Data Privacy Framework). Damit soll der Transfer privater Daten zu US-Cloud-Anbietern und -Unternehmen legalisiert werden.

Was beim Transfer zu beachten ist

Der Angemessenheitsbeschluss ist nur ein Rechtsakt, d.h. die EU-Kommission glaubt, dass in den USA das gleichen Datenschutzniveau wie innerhalb der europäischen Union herrscht und hat dies formal festgestellt. Firmen oder Behörden und Organisationen, die persönliche Daten von EU-Bürgern in die USA transferieren, können sie aber nicht einfach auf das Data Privacy Framework beziehen – ich hatte hier bereits im Blog erwähnt, dass Zertifizierungen der US-Anbieter erforderlich sind (siehe Datenaustausch mit den USA per EU-U.S. Data Privacy Framework, eine Bestandsaufnahme). Aufhänger war eine Art Checkliste einer Anwaltskanzlei.

Anzeige

Nun hat die Deutsche Datenschutzkommission (DSK) sich der Angelegenheit angenommen und einige Anwendungshinweise geliefert. Die DSK ist das Gremium der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Das PDF-Dokument mit dem Titel Übermittlung personenbezogener Daten aus Europa an die USA um fasst satte 32 Seiten. Die Anwendungshinweise richten sich sowohl an Verantwortliche und Auftragsverarbeiter in Deutschland, die personenbezogene Daten an die USA übermitteln. Das Dokument kann aber auch von betroffenen Personen herangezogen werden.

Laut DSK beleuchten die Anwendungshinweise insbesondere die Reichweite und den Anwendungsbereich der Neuregelung, den Einsatz alternativer Instrumente für Übermittlungen an die USA sowie Umfang und Durchsetzung von Rechten betroffener Personen gegenüber Stellen in den USA.

  • Kern- und Angelpunkt des Ganzen ist, dass Stellen aus Europa, die persönliche Daten in den USA verarbeiten lassen möchten, dies nur mit zertifizierten Anbietern tun dürfen. Die Zertifizierung des Anbieters muss in der Liste des US‐Handelsministeriums (US Department of Commerce, DOC) vermerkt sein.
  • Im Rahmen eines "Follow‐up‐Verfahrens" muss die US‐Organisation die Umsetzung ihrer Datenschutzpraxis vor dem Hintergrund der Vorgaben des EU‐US DPF überprüfen. Es erfolgt eine jährliche Neu-Zertifizierung des Anbieters.

Stellen in Europa können sich zur Übermittlung personenbezogener Daten an US-Anbieter nur dann das EU‐US DPF stützen, wenn der Anbieter in der oben erwähnten Liste des DOC als zertifiziert aufgeführt ist. Ich habe mal kurz geschaut, Amazon, Google und Microsoft sind aufgeführt – Oracle beispielsweise nicht. Und es muss dann auch jährlich neu überprüft werden, ob der Anbieter zertifiziert ist. Die Kollegen von heise haben hier und hier die Punkte etwas zusammengefasst. Wer vor der konkreten Frage eines Datentransfers in die USA steht, wird aber nicht drum herum kommen, die 32 Seiten der Datenschutzkonferenz (DSK) durchzuarbeiten.

Damoklesschwert EuGH

Wer jetzt im Rahmen des Angemessenheitsbeschlusses des EU-US Trans-Atlantic Data Privacy Framework personenbezogene Daten bei einem zertifizierten US-Anbieter verarbeiten lässt, sollte auf Seite 31 des PDF-Dokuments den Ausblick sehr aufmerksam lesen. Die DSK weist darauf dort darauf hin, dass es sich beim Angemessenheitsbeschluss der EU-Kommission zwar um geltendes EU‐Recht handelt, welches aber nur solange gilt, wie der Angemessenheitsbeschluss in Kraft ist. Und dort werden folgende Hinweise gegeben:

  • Der Angemessenheitsbeschluss wird ein Jahr nach Inkrafttreten und danach spätestens alle vier Jahre von der Europäischen Kommission auf seine Wirksamkeit überprüft und kann ggf. angepasst oder aufgehoben werden.
  • Angemessenheitsbeschlüsse können nach Art. 45 DS‐GVO durch den EuGH gerichtlich überprüft und ggf. für ungültig erklärt werden. Genau dies ist bei den beiden vorherigen Abkommen passiert.

Verantwortliche müssen sich daher auf die Möglichkeit einstellen, dass der Angemessenheitsbeschluss aufgehoben oder abgeändert wird. Beim EuGH ist bereits eine Klage als Privatperson durch den französischen Parlamentarier Philippe Latombe gegen den Angemessenheitsbeschluss eingereicht worden. Und die Organisation noyb von Max Schrems, die die beiden ersten EuGH-Urteile erstritten hat, wird ebenfalls Klage einreichen. Gehe ich die Argumentation von Max Schrems durch, hat sich beim Trans-Atlantic Data Privacy Framework (DPF) an der grundsätzlichen Problematik, die der EuGH in seinen früheren Urteilen festgestellt hat, nichts geändert. Die ganze Geschichte wurde lediglich in wohlklingendere Formulierungen gepackt. Es ist also davon auszugehen, dass die Chance, dass das EU-US-DPF vom EuGH gekippt wird, sehr hoch ist.

Wie meint die Datenschutzkonferenz in ihren Hinweisen: "Verliert der Angemessenheitsbeschluss seine Gültigkeit, müssten Verantwortliche die entsprechenden Übermittlungen auf ein anderes, wirksames Übermittlungsinstrument aus Kapitel V DS‐GVO stützen oder die in Rede stehenden Übermittlungen einstellen." Daher an die Verantwortlichen der Tipp, sich schon mal ein "anderes, wirksames Übermittlungsinstrument aus Kapitel V DS‐GVO" zu überlegen, auf die man sich rechtswirksam stützen könnte. Nicht dass es nachher heißt "das hat ja keiner wissen können".

Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework
Stellungnahmen von ESDA und BfDI zum EU-U.S. Data Privacy Framework
Entschließung des EU-Parlaments zum US-EU Framework (Mai 2023)
USA erfüllen Verpflichtungen des EU-U.S. Data Privacy Framework
EU-Kommission fällt Angemessenheitsbeschluss für EU-U.S. Data Privacy Framework

Max Schrems und noyb stellen Strafanzeige gegen irische DPC
Irische DPC fordert noyb zur Löschung von Facebook-Entscheidungsentwurf auf
Wie Irlands IDPC systematisch Google, Facebook & Co. vor DSGVO-Verfahren schützt
EuGH erklärt Facebooks/Metas DSGVO-Regeln für illegal
Datenaustausch mit den USA per EU-U.S. Data Privacy Framework, eine Bestandsaufnahme

Anzeige
Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu DSK-Anwendungshinweise zum EU-US Data Privacy Framework (DPF)

  1. DS sagt:
    15. September 2023 um 09:58 Uhr

    Kleiner Hinweis für Verantwortliche bei Nutzung der Links in Datenschutzerklärungen… :

    Die IDs und URL Struktur der alten PrivicyShield-Seite wurden ja übernommen in die der Seite DataPrivacyFramework und somit könnte man eine einfache Anpassung der Links vornehmen. Allerdings scheint bei der neuen Seite keine aktive Prüfung des Parameters &status= stattzufinden.

    Bei der alten Seite kann hinten status=Active stehen, auf der Webseite wird aber z.b. bei LinkedIn oder Twitter korrekterweise in der "navbox" rot angezeigt: "LinkedIn Corporation – Inactive Participant" :
    https://www.privacyshield.gov/ps/participant?id=a2zt0000000L0UZAA0&status=Active

    Bei der neuen Seite wird bei Nutzung des gleichlautenden Links in der "slds-nav-vertical" grün angezeigt "LinkedIn Corporation Active Participant", obwohl im Detailbereich eindeutig Inactive steht:
    https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt0000000L0UZAA0&status=Active

    Scheinbar wird der Status-Parameter einfach "ungeprüft" übernommen:
    https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt0000000L0UZAA0&status=HelloWorld

    Den Status-Parameter wegzulassen ist auch keine Lösung, da es dann selbst bei vorhandener Zertifizierung eine rote Anzeige ergibt:
    https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt0000000GnywAAC

    Hinweise an die Sitebereiber vor einigen Wochen, landeten wohl im /dev/null

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.