Am 10.07.2023 hat die Europäische Kommission den Angemessenheitsbeschluss für das EU-US Data Privacy Framework angenommen. Hiermit wurde eine Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA geschaffen.

Das EU-US Data Privacy Framework ist das dritte Datentransferabkommen zwischen der EU und den USA und folgt dem 2020 vom EuGH für ungültig erklärten EU-US Privacy Shield (Schrems-II-Urteil) sowie dem im Jahr 2015 ebenfalls vom EuGH aufgehobenen Safe-Harbor-Abkommen (Schrems-I-Urteil).

Während Ursula von der Leyen in der Pressemitteilung der EU-Kommission erklärt, „der neue EU-US-Datenschutzrahmen wird einen sicheren Datenverkehr für die Europäer gewährleisten und den Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten“, kündigt Max Schrems mit der Bürgerrechtsorganisation NOYB bereits konkrete rechtliche Schritte gegen das Data Privacy Framework an.

Was bedeutet das EU-US Data Privacy Framework genau?

Das EU-US Data Privacy Framework ist ein Angemessenheitsbeschluss. Ein solcher besagt, dass in einem bestimmten Drittland (einem Land außerhalb des Geltungsbereichs der DSGVO) ein vergleichbares Datenschutzniveau garantiert wird wie innerhalb der Europäischen Union. Eine Übersicht aller von der EU-Kommission gefassten Angemessenheitsbeschlüssen finden Sie hier.

Liegt ein Angemessenheitsbeschluss vor, so sind bei einem Transfer personenbezogener Daten in das jeweilige Land keine zusätzlichen Maßnahmen zur Sicherung eines der DSGVO entsprechenden Schutzniveaus erforderlich.

Was verändert sich bei der datenschutzrechtlichen Bewertung an der Universität Greifswald?

Vorab sei ganz deutlich gesagt: Auch ein vorliegender Angemessenheitsbeschluss legitimiert keine Verarbeitung personenbezogener Daten!

Es sind weiterhin alle Vorgaben gemäß der DSGVO einzuhalten und zu prüfen. Dies bedeutet zum Beispiel, dass für Verarbeitungen personenbezogener Daten Rechtsgrundlagen bestehen, Verzeichnisse der Verarbeitungstätigkeiten erstellt, Datenschutzinformationen gegeben oder ggf. erforderliche Vereinbarungen geschlossen werden müssen. Die datenschutzrechtliche Prüfung erfolgt unverändert über das Datenschutzmanagement der Universität Greifswald.

ABER: Die Legitimierung einer Datenübermittlung in die USA war nach der Annullierung des EU-US Privacy Shields nur noch in den seltensten Fällen möglich. Betroffen waren hiervon nicht nur direkt in den USA ansässige Unternehmen oder Organisationen, sondern auch solche, welche sich ihrerseits sogenannter „Unterauftragsverarbeiter“ mit Sitz in den USA bedienten. Aufgrund des Angemessenheitsbeschlusses ist ein Transfer personenbezogener Daten an US-amerikanische Unternehmen oder Organisationen nun wieder zulässig, wenn sich diese unter dem EU-US Data Privacy Framework haben zertifizieren lassen.

Es ist davon auszugehen, dass insbesondere die „Global Player“ so schnell wie möglich eine solche Zertifizierung durchführen lassen. Ferner ist anzunehmen, dass entsprechende Unternehmen und Organisationen an prominenten Stellen ihrer Websites auf ihre Zertifizierung hinweisen werden, mindestens jedoch in ihren Datenschutzerklärungen. Zudem wird die Liste zertifizierter Unternehmen und Organisation des U.S. Department of Commerce kontinuierlich angepasst.

Prüfanfragen

Verarbeitungsverfahren, welche seitens des Datenschutzmanagements der Universität Greifswald aufgrund einer unrechtmäßigen Datenübermittlung in die USA in der Vergangenheit nicht freigegeben wurden, können nun erneut geprüft werden. Voraussetzung für die Beantragung einer entsprechenden Überprüfung ist jedoch, dass die betreffenden Unternehmen oder Organisationen bereits über eine Zertifizierung unter dem EU-US Data Privacy Framework verfügen. Von Prüfanfragen für Unternehmen oder Organisationen ohne diese Zertifizierung ist abzusehen! Aufgrund dieser neuen Situation ist von einem erhöhten Anfrageaufkommen auszugehen. Bitte haben Sie Verständnis dafür, dass planmäßige Anfragen mit höherer Priorität bearbeitet werden. Zudem ist während der Urlaubszeit mit längeren Bearbeitungszeiten zu rechnen.

Um Ihre Prüfanfrage schnellstmöglich bearbeiten zu können, reichen Sie bitte die zur Prüfung erforderlichen Unterlagen vollständig über das Ticketsystem der Universität Greifswald (Typ: Datenschutzanfragen) ein:

• ausgefülltes Verzeichnis der Verarbeitungstätigkeiten (gelb markierte Felder)
• Aus der Beschreibung der Verarbeitungstätigkeit soll das vollständige Verfahren ersichtlich werden. Alternativ kann zusätzlich eine Projektbeschreibung und/oder ein Datenschutzkonzept eingereicht werden, sofern vorhanden.
• bei Inanspruchnahme eines Auftragsverarbeiters: ausgefüllter Vertrag gem. Art. 28 DSGVO (AVV) inkl. Anlagen
• bei Verarbeitungen in gemeinsamer Verantwortung: ausgefüllte Vereinbarung gem. Art. 26 DSGVO (VgV) inklusive Anlagen
• Datenschutzinformationen gem. Art. 13/14 DSGVO
• bei Verarbeitungstätigkeiten aufgrund einer Einwilligung: Einwilligungserklärung

Sämtliche Vorlagen finden Sie auf dieser Website unter Arbeitshilfen und Formulare.

Hinweise zur „Nachhaltigkeit“

Wie bereits angedeutet, steht das EU-US Data Privacy Framework auf wackeligen Beinen. Ob es ggf. einer Überprüfung des Europäischen Gerichtshofs standhalten kann, werden die kommenden Monate und Jahre zeigen. Sofern auch dieses Abkommen wieder annulliert wird, sind sämtliche Übermittlungen personenbezogener Daten in die USA, welche auf diesem Angemessenheitsbeschluss beruhen, umgehend einzustellen. Gleiches droht auch, sofern während eines Anfechtungsverfahrens das Abkommen zeitweilig ausgesetzt wird. Aus diesem Grund sollte von vornherein hinterfragt werden, ob ein Verarbeitungsverfahren notwendigerweise auf eine Datenübermittlung in die USA gestützt werden muss. Es wird empfohlen, bei vorhandenen Alternativen von vornherein auf eine solche Übermittlung zu verzichten.

Weiterführende Links

Nähere Informationen zum EU-US Data Privacy Framework finden Sie unter folgenden Links:

EU-US Data Privacy Framework - PDF

Fragen und Antworten der EU-Kommission zum EU-US Data Privacy Framework

Pressemitteilung des Bundesbeauftragten für Datenschutz und Informationsfreiheit

Information veröffentlicht am 12.07.2023, letzte Aktualisierung am 08.11.2023