Aktion für Mandanten erforderlich: Aktualisierung von EU-Datenschutzerklärungen in Bezug auf EU-US-Data Privacy Framework

Am 10.07.2023 hat die EU-Kommission den Angemessenheitsbeschluss für das EU-US-Data Privacy Framework erlassen. An US-Unternehmen, die sich dem neuem Rahmen angeschlossen haben, können seitdem wieder rechtskonform Daten übermittelt werden. Aufgrund dieser Entwicklung hat die IT-Recht Kanzlei betroffene Datenschutzerklärungen für den europäischen Raum im notwendigen Umfang unverzüglich aktualisiert. Worum Mandanten nun gebeten werden, lesen Sie hier.

I. EU-US Data Privacy Framework: Datenschutzkonforme Transfers an angeschlossene US-Unternehmen

Nach Verabschiedung des Angemessenheitsbeschlusses für das neue EU-US-Data Privacy Framework durch die EU-Kommission sind Datentransfers an US-Unternehmen wieder rechtskonform möglich, sofern sich diese dem neuen Datenschutzrahmen angeschlossen haben.

Der Angemessenheitsbeschluss beendet den seit der EuGH-Kassation des Privacy Shield bestehenden Schwebezustand transatlantischer Datenübermittlungen, die mangels geeigneter anderer Garantien als potenziell rechtswidrig galten.

Nach Erlass des Angemessenheitsbeschlusses war zunächst unklar, ob US-Unternehmen für ihre Teilnahme am neuen Datenschutzrahmen einen Rezertifizierungsprozess würden durchlaufen müssen oder ob ihre bisherige Privacy-Shield-Zertifizierung fortgelten würde.

Nach offiziellen Informationen des US-Wirtschaftsministeriums ist letzteres der Fall: US-Unternehmen, die über ein aktives Zertifikat für das seit 2020 ungültige Privacy Shield verfügen, fallen automatisch unter den neuen Datenschutzrahmen und werden nur zur Anpassung ihrer Datenschutzrichtlinien verpflichtet.

So führt das Ministerium aus:

Am 10. Juli 2023 trat der Angemessenheitsbeschluss der Europäischen Kommission für den EU-US-Datenschutzrahmen (EU-U.S. DPF) in Kraft. Die EU-U.S. DPF-Prinzipien traten zum selben Zeitpunkt in Kraft. In den USA ansässige Organisationen, die ihre Verpflichtung zur Einhaltung der EU-U.S. Privacy Shield Framework Principles selbst zertifiziert haben, müssen die EU-U.S. DPF-Prinzipien einhalten, unter anderem durch die Aktualisierung ihrer Datenschutzrichtlinien bis zum 10. Oktober 2023. Diese Organisationen müssen keine gesonderte Selbstzertifizierung einreichen, um am EU-US-Datenschutzschild teilzunehmen, und können sich sofort auf die Entscheidung über die Angemessenheit des EU-US-Datenschutzschildes verlassen, wenn sie personenbezogene Daten aus der Europäischen Union/dem Europäischen Wirtschaftsraum erhalten.

Damit sind Datentransfers an alle US-Unternehmen, die ein aktives Zertifikat für die Teilnahme am ehemaligen Privacy Shield nachweisen, ab sofort durch den Angemessenheitsbeschluss gerechtfertigt und DSGVO-konform.

Dies verbessert die Rechtslage für alle EU-Unternehmer erheblich, die entweder direkt oder über verwendete Dienste personenbezogene Daten auch mit zertifizierten US-Unternehmen teilen. Ab sofort entfällt für solche Datenverarbeitungen in Bezug auf den Drittstaatentransfer jedwedes rechtliche Risiko.

Aktive Zertifikate von US-Unternehmen für das neue EU-US Data Privacy Framework können ab dem 17.07.2023 unter https://www.dataprivacyframework.gov eingesehen werden.

II. Auswirkungen auf Klauseln in Datenschutzerklärungen für den EU-Raum

Die neue Legitimierung von Datentransfers an US-Unternehmen, die dem aktuellen EU-US-Datenschutzrahmen angeschlossen sind, hat maßgebliche Auswirkungen auf alle Datenschutzerklärungen für den EU-Raum.

Klauseln, die Datenverarbeitungen durch nunmehr am Data Privacy Framework teilnehmende US-Firmen beschreiben, müssen zwingend um Hinweise zum neuen Angemessenheitsbeschluss und zur sich daraus ergebenden Rechtskonformität von transatlantischen Übermittlungen erweitert werden.

Sofern Klauseln vorher eine datenschutzrechtliche Rechtfertigung solcher Transfers auf implementierte Standardvertragsklauseln (englisch: Standard Contractual Clauses (SCCs)) stützten, sind sie vor dem Hintergrund des neuen Angemessenheitsbeschlusses zu ändern.

III. IT-Recht Kanzlei aktualisiert alle betroffenen Datenschutzerklärungen

In aufwendiger Feinarbeit hat die IT-Recht Kanzlei bereits alle betroffenen Klauseln in allen betroffenen Datenschutzerklärungen für den europäischen Raum aktualisiert.

Hierfür wurden

• zunächst alle Datenschutzklauseln mit US-Bezug identifiziert,
• sodann die jeweils verantwortlichen US-Unternehmen eruiert,
• diese in der offiziellen Zertifikatsliste auf gültige Zertifikate hin überprüft und schließlich
• Datenschutzklauseln mit Informationen zur Übermittlung an zertifizierte US-Unternehmen um Hinweise auf den neuen Angemessenheitsbeschluss als geeignete Transfergarantie erweitert

Natürlich wurden auch bereits die Ergebnisse und Risikoeinstufungen im Website-Scanner und für EasyScan so angepasst, dass die neue Datenschutzkonformität von Transfers an am neuen Datenschutzrahmen teilnehmende Unternehmen berücksichtigt wird.

IV. Aktion für Mandanten erforderlich

Im Zuge der weitgehenden Updates werden alle Mandanten, die Datenschutzerklärungen

• für den Online-Shop für eines oder mehrere EU-Länder
• für Homepages für eines oder mehrere EU-Länder
• für die Verkaufsplattform Etsy in einer oder mehreren Sprachen
• für Social Media
• für Apps

verwenden, gebeten, diese auf ihren Zielpräsenzen zu aktualisieren.

Die aktualisierten Fassungen stehen ab sofort im Mandantenportal bereit.

Sofern Mandanten

• eine Datenschnittstelle eingerichtet haben oder den Hosting-Service der IT-Recht Kanzlei nutzen, erfolgt die Aktualisierung automatisch und es ist kein händisches Anpassen erforderlich
• keine Schnittstelle eingerichtet haben und nicht den Hosting-Service nutzen, werden sie gebeten, die aktuellen Fassungen der betroffenen Datenschutzerklärungen aus dem Mandantenportal auf die jeweilige Zielpräsenz zu übernehmen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.