EU-U.S. Data Privacy Framework. Stand und Umsetzungsbedarf

Die Biden-Administration war dazu bereits im Oktober 2022 in Vorleistung gegangen und ordnete im Wege einer (theoretisch widerrufbaren) Executive Order neue Regeln für US-Sicherheitsbehörden an – erkennbar in dem Bemühen, insbesondere die Kritik des EuGH aus den vorangegangenen Urteilen zum Safe Harbour-Abkommen („Schrems I“) und dem Privacy Shield („Schrems II“) aufzugreifen. So soll nunmehr ein zweistufiges Rechtsschutzsystem dafür sorgen, dass auch EU-Bürger dem Schutz ihrer personenbezogenen Daten in den USA auf dem Rechtsweg Geltung verschaffen können.

KONTEXT UND WESENTLICHE INHALTE

Durch den Beschluss zugunsten des DPF bieten die USA im Hinblick auf die dort festgelegten Rahmenbedingungen ein angemessenes Schutzniveau, so dass die USA insofern wieder als sicherer Drittstaat i.S.v. Art. 45 Abs. 3 DSGVO gelten. Daran sind insbesondere auch die Datenschutzaufsichtsbehörden gebunden.

Wichtig ist es zu beachten, dass sich die privilegierende Wirkung des DPF nur auf den Datentransfer an solche Unternehmen in den USA erstreckt, die sich einem Selbstzertifizierungsmechanismus unterworfen haben. Ob ein Unternehmen personenbezogene Daten unter dem DPF in die USA importieren kann, ist unter https:// www.dataprivacyframework.gov/s/participant-search einzusehen. Zudem ist dort ersichtlich, für welche Datenkategorien die jeweiligen Unternehmen zertifiziert sind – insbesondere wird zwischen „HR Data“ und „Non- HR Data“ unterschieden.

„DSGVO LIGHT“

Was gilt für die zertifizierten U.S.-Datenimporteure? Unter anderem verpflichten sie sich zur Einhaltung von sieben „principles“,¹ https://www.dataprivacyframework.gov/s/article/Participation- Requirements-Data-Privacy-Framework-DPF-Principles-dpf. die erkennbar dem europäischen Datenschutzrecht folgen. Zudem verpflichten sich die Unternehmen zur Einhaltung von Selbstregulierungsmechanismen – insbesondere im Hinblick auf „Recourse, Enforcement and Liability“. Auch sind die unter dem DPF zertifizierten Unternehmen zur Zusammenarbeit mit den EU-Datenschutzbehörden verpflichtet.

BESTANDSAUFNAHME

Zunächst bringt der neue Rechtsrahmen und die niedrigschwellige Abfragemöglichkeit, ob ein US-Datenimporteur nach dem DPF zertifiziert ist, eine deutliche Vereinfachung für Rechtsanwendende. Zwar fällt zunächst zusätzlicher Implementierungsaufwand an, da die datenschutzrechtliche Dokumentation von Datenexporteuren auf den neuen Transfermechanismus umgestellt werden muss. Die Inanspruchnahme neuer Dienstleister ist aber, so diese zertifiziert sind, mit erheblich weniger Aufwand verbunden als zuvor. Dies gilt insbesondere für solche Datenexporteure, die Klausel 14 der Standardvertragsklauseln (nachfolgend „SCC“) der EU-Kommission von 2021 ernst genommen und Transfer Impact Assessments (nachfolgend „TIA“) durchgeführt haben. Dieser Aufwand muss nun für den Datenexport an DPF-zertifizierte Unternehmen in den USA nicht mehr betrieben werden.

Nichtsdestotrotz besteht kein Anlass, bereits abgeschlossene SCC zu kündigen – insbesondere ergibt sich aus dem Angemessenheitsbeschluss kein Verbot, ein anderes Transferinstrument zu wählen. Genau genommen sind jedoch bereits gefertigte TIA anzupassen, da nach Klausel 14 die besonderen Umstände der Übermittlung sowie die relevanten Rechtsvorschriften und Gepflogenheiten des Drittstaats zu beurteilen sind – und diese haben sich durch die Executive Order datenverarbeitungsbegünstigend geändert.

Die deutsche Datenschutzkonferenz, ein Zusammenschluss der Datenschutzaufsichtsbehörden, hat weitere Anwendungshinweise veröffentlicht.²https://datenschutzkonferenz-online.de/media/ah/230904_DSK_Ah_EU_ US.pdf. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit weicht von diesen in einer Pressemitteilung³https://tlfdi.de/fileadmin/tlfdi/presse/Pressemitteilungen_2023/230904_ PM_DPF.pdf. ab und weist darauf hin, dass aufgrund der fehlenden Regelungen des DPF zu datenschutzrechtlichen Verpflichtungen der DSGVO der verantwortliche Datenexporteur die Einhaltung dieser im Zweifel ohne Hilfe des Datenimporteurs erfüllen können müsse. Dies könne etwa über einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO oder eine Vereinbarung nach Art. 26 DSGVO erfolgen. Dass Verantwortliche, auch unter Geltung des DPF, die für sie geltenden Pflichten aus der DSGVO einzuhalten haben, liegt auf der Hand.

DER EINSATZ VON DIENSTLEISTERN IN DER KANZLEI

Neben dem offensichtlich in der Beratung zu beachtenden neuen Rechtsrahmen für den Export personenbezogener Daten in die USA sind die Auswirkungen des DPF auch im Rahmen der Kanzleiorganisation zu beachten. Insbesondere ist die datenschutzrechtliche Dokumentation – so einschlägig – auf den neuen Transfermechanismus umzustellen und etwa zu prüfen, ob auch Beschäftigtendaten von der Zertifizierung des eingesetzten Dienstleisters umfasst sind.

„Die datenschutzrechtliche Dokumentation ist auf den neuen Transfermechanismus umzustellen und etwa zu prüfen, ob auch Beschäftigtendaten von der Zertifizierung des eingesetzten Dienstleisters umfasst sind“

Bei ausländischen Diensten schreibt § 43e Abs. 4 BRAO ein Schutzniveau vor, das mit dem im Inland vergleichbar ist. In diesem Zusammenhang ist neuerlich auch auf § 43e Abs. 3 BRAO hinzuweisen, der konkrete Vorgaben für den Vertrag mit Dienstleistern macht (vgl. dazu Klugmann/ Leenen/Salz, AnwBl. 2018, 283 f.). Grundsätzlich muss die Inanspruchnahme von Dienstleistern erforderlich sein, was aus Sicht des jeweiligen Berufsgeheimnisträgers zu beurteilen ist: Das wirtschaftliche Interesse des Berufsgeheimnisträgers muss mit den berechtigten Interessen der Mandantschaft am rechtlichen Schutz von Mandatsgeheimnissen in Einklang zu bringen sein. Aspekte, die hier herangezogen werden können, sind die Möglichkeit der verschlüsselten Übermittlung und Wiedergabe sowie die (Nicht-)Einsichtsmöglichkeit durch den Dienstleister.

Bei SaaS-Anwendungen sind die Anforderungen an die Erforderlichkeit noch einmal höher, da die Daten bei dem jeweiligen externen Dienstleister nicht nur gespeichert, sondern auch verarbeitet werden – eine jedenfalls theoretische Einsichtnahme durch den Cloudanbieter wird insofern nicht ausgeschlossen werden können. Dies hat nicht per se zur Folge, dass der Einsatz von SaaSAnwendungen nie die notwendige Erforderlichkeit aufweist. Allerdings sind die Anforderungen an die übrigen Aspekte höher – insbesondere ist die Möglichkeit der Beschränkung auf möglichst wenige Zugriffsberechtigte umso wichtiger.

Als Nachweis der fachlichen Eignung und Zuverlässigkeit von Dienstleistern können Zertifikate und Qualifikationsnachweise des Dienstleisters dienen. Die Aussagekraft dieser ist kritisch zu beleuchten. Eine Zertifizierung nach dem DPF zählt zu den Nachweisen, die Gewähr dafür bieten, dass die Verarbeitung beim Dienstleister den Grundsätzen der DSGVO folgt. Dies gilt jedenfalls bis zu einer gegenteiligen Verlautbarung des EuGH. Insbesondere gibt es keine aktive Nachforschungspflicht abseits von bestehenden Zweifeln oder konkreten Anhaltspunkten.

Zertifizierungen von Unternehmen in Bezug auf das Vorgängerabkommen (EU-U.S. Privacy Shield) sind gemäß einer Verfügung des U. S. Department of Commerce⁴Important Privacy Shield Program Update v. 11.7.2023: https://content. govdelivery.com/accounts/USITATRADE/bulletins/364aa64. weiterhin gültig. Die Unternehmen müssen jedoch die Vorgaben des DPF bis zum 10. Oktober 2023 umgesetzt haben.

Bei unzertifizierten Anbietern oder Anbietern aus anderen Drittstaaten sind idealiter SCC in Verbindung mit dem stets notwendigen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO anzuwenden, um so die von § 43e Abs. 4 BRAO geforderte Vergleichbarkeit des Schutzes von Geheimnissen mit dem Niveau des Inlandes herstellen zu können.

AUSBLICK

Bereits kurz nach Erlass des EU-Angemessenheitsbeschlusses wurde die erste Klage vor dem Gericht der Europäischen Union (EuG, Rs. T-553/23 – Latombe/Kommission) eingereicht. Auch der vom Datenschutzaktivisten Max Schrems mitgegründete Datenschutzverein NOYB hat bereits am Tag des Erlasses der Angemessenheitsentscheidung eine Klage gegen diese angekündigt.

Das absehbare Verfahren vor dem EuGH wird sich insbesondere mit der Frage auseinandersetzen, ob wirksame Rechtsbehelfe und der Zugang zu unabhängigen Gerichten zur Verfügung stehen und gelebt werden. Je nachdem, wie der dann durch NOYB unterstützte Fall gestrickt ist, wird „Schrems III“ entweder längerfristige Rechtssicherheit für den Transfer personenbezogener Daten in die USA schaffen, indem der Angemessenheitsbeschluss zum DPF als europarechtskonform beurteilt wird. Oder: Es geht in die nächste Runde, einschließlich einer Übergangszeit, in der (wieder) ausführlich SCC und TIA gefertigt werden (müssen).

Auch die EU-Kommission selbst könnte den Angemessenheitsbeschluss im Rahmen der nach einem Jahr fälligen Evaluation als unzureichend bewerten, was jedoch schon wegen der damit einhergehenden außenpolitischen Wirkung sehr unwahrscheinlich sein dürfte.