Informationen zum EU-US-Datenschutzabkommen
Unternehmen, die zukünftig Daten aus der EU an US-Unternehmen übertragen wollen, müssen vorab prüfen, ob der Empfänger der personenbezogenen Daten eine entsprechende Zertifizierung vorweisen kann. Der Verantwortlicher muss mindesten jährlich prüfen, ob die Zertifizierung noch vorliegt.
Wenn man sich diesen Angemessenheitsbeschluss mal näher ansieht und mit vorhergehenden Beschlüssen vergleicht, fällt auf das dieser nicht generell für ein gesamtes Gebiet, wie z.B. den USA, getroffen würde.
In diesem besonderen Fall ist der Angemessenheitsbeschluss nur dann gültig, wenn ein in den USA ansässiges Unternehmen sich selbst zertifiziert hat und dieses vorweisen kann.
Dabei reicht es nicht aus, dass das Unternehmen dieses nur mal ebenso auf Ihre Unternehmenswebsite erklären kann, laut dem Datenschutzabkommen / Angemessenheitsbeschluss muss das Unternehmen zwingend gelistet sein auf der Website:
dataprivacyframework.gov der US-Export-Behörde International Trade Administration.
Wenn ein US-Unternehmen diese Rezertifizierung nicht rechtzeitig durchführt und bei der US-Behörde meldet, verfällt seine Teilnahme an dem Verfahren. Für den Verantwortlichen bedeutet dieses, das die Datenübertragung nicht mehr auf die rechtliche Grundlage des Angemessenheitsbeschlusses stattfindet.
Setzt der Datenempfänger in den USA Subunternehmer ein, müssen diese Subunternehmer auch selbst zertifiziert sein, oder entsprechende Garantien für ein angemessenes Datenschutzniveau (wie Standardvertragsklauseln vom 04.06.2021) bereitstellen.
Was ist zu tun?
! Prüfen, ob der Datenempfänger in den USA auf der Zertifizierungsliste eingetragen ist.
(Der Zertifizierungsnachweis darf nicht älter als 12 Monate sein – außerdem sollte beachtet werden für welche Bereiche die Zertifizierung abgegeben wurde – HR, NON-HR)
! Verarbeitungsverzeichnis ergänzen.
! Auftragsverarbeitungsverträge ergänzen.
! Datenschutzinformationen aktualisieren.
! Prozess zur regelmäßigen Überprüfung der Zertifizierung einrichten.
! Notfallplan für den Fall einer fehlender Re-Zertifizierung erstellen. Ein Bestandteil des Notfallplans sollte die Durchführung eines Transfer Impact Assessments sein.
Was wenn ein TIA notwendig wird.
Sofern ein Datenaustausch mit einem US-Unternehmen stattfindet, das nicht oder nicht mehr am Zertifizierungsverfahren teilnimmt, bleibt weiterhin der Abschluss von Standardvertragsklauseln und damit auch die Durchführung eines Transfer Impact Assessments ( David Rosenthal ) erforderlich.
Die Risikobewertung wird erleichtert, da der Angemessenheitsbeschluss (von Prinzip her) sich) zu einem positiven Ergebnis beiträgt.
Bereits abgeschlossene aktuelle Standardvertragsklauseln (Veröffentlicht 04.06.2021) haben trotz des Angemessenheitsbeschlusses weiterhin bestand und müssen nicht widerrufen werden.
Was wenn EU-Daten auf EU-Server von US-Unternehmen gespeichert werden.
Einige US-Anbieter, bieten inzwischen die Möglichkeit an, dass Daten von EU-Bürger auf EU-Servern gespeichert werden. Ob dies ein “sicherer” Weg ist, lässt sich bis zum heutigen Zeitpunkt nicht mit Sicherheit sagen.
Das Risiko bei Datenübermittlungen in den USA liegt grundsätzlich potenziell im relativ leichten Zugriff auf Daten durch die US-Behörden. Dennoch dürfte es gegenüber den Aufsichtsbehörden ein positives Zeichen sein, das sich diese US-Unternehmen um eine Datenverarbeitung außerhalb der USA zu bemühen.
In diesem Zusammenhang sollte der Verantwortlicher aber auch auf evtl. Auftragsverarbeiter in den USA achten.