Neues aus dem Bereich Datenschutz. Mit dem Angemessenheitsbeschluss vom 10. Juli 2023 trat das Data Privacy Framework (kurz: DPF) in Kraft. Ein Abkommen zwischen der EU und den USA. Somit ist ab sofort der Transfer von Daten zwischen EU-Unternehmern und zertifizierten US-Unternehmen DSGVO-konform und stellt kein rechtliches Risiko mehr da.
Es hilft vor allem Webseitenbetreibern US-Dienstleistungen wie bekannte Tracking-, Analyse- und Marketing-Tools wie aus den USA (z.B.: Google Analytics) wieder rechtssicher anwenden zu können.
Was dabei dennoch zu beachten ist und was das alles im einzelnen bedeutet, erfährst du im folgenden Artikel.
INHALT:
1. Das Problem und Warum ein Datenschutzabkommen?
2. Kleiner Rückblick über die Entwicklung
3. Was beinhaltet das DATA PRIVACY FRAMEWORK?
4. Welche Auswirkungen hat das Abkommen für mich als Webseitenbetreiber?
5. Zukunftsaussichten
Das Problem und warum ein Datenschutzabkommen?
Der Missbrauch von personenbezogenen Daten. Davor schützt uns im allgemeinen die Datenschutzgrundverordnung der EU. Gleichzeitig steht diese jedoch im Konflikt mit der Nutzung von oftmals hilfreichen und nützlichen Dienstleistungen sowie Programmen von US-amerikanischen Unternehmen. Denn diese übertragen personenbezogene Daten aus der EU in die USA und speichern sie dort. In Drittländern wie den USA sind die Daten aber nicht ausreichend geschützt und daher verbietet die DSGVO grundsätzlich die Übermittlung von personenbezogenen Daten außerhalb der EU -> Art. 44 bis 49 DSGVO.
Im harmlosesten Fall werden die transferierten Daten für eigene Zwecke, wie der Schaltung möglichst personalisierter Werbung, verwendet. Im schlimmsten Fall werden sie verkauft oder gehackt, was zu Spam-Mails über Kreditkartenbetrug bis hin zu Identitätsdiebstahl führen kann. Bisher hatten außerdem US-Sicherheitsdienste weitreichende Befugnisse auf die Daten zuzugreifen.
Um nun EU-Unternehmern und somit uns Webseitenbetreibern die Nutzung genannter Dienste aus den USA unter Berücksichtigung des Datenschutzes/der europäischen Datenschutzgrundverordnung rechtssicher zu ermöglichen, wurde das Rahmenwerk “Data privacy Framework” (DPF) als transatlantischer Datenschutzrahmen zwischen der EU und den USA vereinbart.
Kleiner Rückblick über die Entwicklung
Das DPF ist nicht das erste Abkommen zwischen der USA und der Europäischen Union. Vor ihm gab es bereits “Safe Harbor” und “Privacy Shield”, welche jedoch beide vom Europäischen Gerichtshof für ungültig erklärt wurden.
Juli 2000 bis Oktober 2015: SAFE HARBOR
EuGH erklärt Beschluss für ungültig. Begründung: Die personenbezognenen Daten von Europäern sind nicht ausreichend geschützt. US-Behörden haben zu weitreichende Zugriffmöglichkeiten auf die Daten von Europäern. Die EU-Kommission habe darüber außerdem keine Kompetenz gehabt, die Befugnisse der nationalen Datenschutzbehörden durch das Abkommen zu beschränken.
Juli 2016 bis Juli 2020: PRIVACY SHIELD
EuGH kippt das Abkommen. Begründung: Datenschutzniveau in den USA entspricht nicht den Standards der EU und US-Geheimdienste haben zu weitreichende Zugriffmöglichkeiten auf die Daten von Europäern.
seit Juli 2023: DATA PRIVACY FRAMEWORK
Aktuell gültig.
Was beinhaltet das “Data Privacy Framwork”?
Grundprinzipien
- Basierend auf dem neuen Rahmenwerk können Daten zwischen der EU und zertifizierten US-Unternehmen frei und sicher fließen.
- Ein neues Regelwerk und verbindliche Schutzmaßnahmen schränken den Datenzugriff durch US-Geheimdienste und Behörden ein. Somit erfolgt ein Zugriff nur dann, wenn er zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist und ohne dass dadurch die Rechte und Freiheiten des Einzelnen unverhältnismäßig beeinträchtigt werden.
- Ein neues zweistufiges Rechtsbehelfssystem wird Beschwerden von Europäern in Bezug auf den Zugriff auf Daten durch US-Geheimdienste untersuchen und sicherstellen, dass diese durch einen neu geschaffenen “Data Protection Review Courts” gerichtlich geprüft und behandelt werden.
- Es gelten strenge Verpflichtungen für US-Unternehmen, die aus der EU übermittelte Daten verarbeiten. Dazu gehört die Selbstzertifizierung um die Einhaltung des Abkommens gegenüber dem US-Handelsministerium zu bestätigen.
- Spezifische Überwachungs- und Überprüfungsmechanismen.
Welche Auswirkungen hat das Abkommen auf Webseitenbetreiber?
Die Nutzung von Dienstleistungen und Programmen von US-Unternehmen ist nun aufgrund des Abkommens rechtsicherer geworden.
Dennoch gilt weiterhin, dass ein Webseitenbetreiber auf seiner Internetseite über einen Datenschutzhinweis den Nutzer darüber zu unterrichten hat, wie seine Daten gesammelt, genutzt und gegebenenfalls an Dritte weitergeleitet werden. Dies nennt sich allgemein bekannt Datenschutzerklärung und hat einen rein informativen Charakter.
Im Gegensatz zu einer Datenschutzeinwilligung, die meist über Consent-Cookie-Banner eingeholt wird. Über diesen holt der Webseitenbetreiber die Zustimmung des Nutzers ein, Daten für spezielle Zwecke zu verwenden, die nicht per se vom Gesetz erlaubt sind. (z.B. die Sammlung von Daten wie Name und E-Mail-Adresse für die Zusendung von Newslettern).
Achte am besten auf folgende Schritte um auf der sicheren Seite zu sein:
- Wähle nur Tools (Programme) und Dienstleistungen von US-Dienstleistern aus, die zertifiziert sind. Eine Übersicht der Unternehmen findest du auf der offiziellen Webseite https://www.dataprivacyframework.gov/s/participant-search .
- Schließe einen Auftragsverarbeitungsvertrag mit den Dienstleistern ab.
- Passe deine Datenschutzerklärung und -einwilligung an, indem du bei den entsprechenden Datenschutzklauseln (also alle zertifizierten US-Unternehmen) auf das Abkommen mit dem Angemessenheitsbeschluss und die Zertifizierung hinweist.
Zukunftsaussichten
Max Schrems ist Jurist und Datenschutzaktivist sowie Vorsitzender der Datenschutzorganisation Noyb. Er hat bereits gegen die Vorgängerabkommen (“Safe-Harbor“ und „Privacy Shield“ ) Klage beim Europäischen Gerichtshof eingereicht, diese gewonnen und letztlich verhindert. Es ist davon auszugehen, dass er auch gegen dieses Rahmenwerk angeht. Genaueres dazu in diesem Artikel: https://noyb.eu/de/european-commission-gives-eu-us-data-transfers-third-round-cjeu .
Bis dahin gilt jedoch das transatlantische Abkommen DPF als rechtskräftig und aktuell.