In der heutigen digital vernetzten Welt gewinnt das Thema Datenübertragung zwischen Ländern immer mehr an Bedeutung. Besondere Aufmerksamkeit gilt hierbei dem Transfer von persönlichen Daten zwischen der Europäischen Union (EU) und den USA, wobei der Wegfall des Privacy Shield zu erheblichen datenschutzrechtlichen Herausforderungen führte. Heute werfen wir einen Blick auf das daraufhin eingeführte EU-US Data Privacy Framework (DPF), das sich in der Praxis gut etabliert hat, und analysieren dessen Auswirkungen.
Seit dem Inkrafttreten des DPF am 10. Juli 2023 zieren insgesamt 2.690 Selbstzertifizierungen die Liste (Stand 15.02.2024). (Quelle: https://www.dataprivacyframework.gov/list). Diese Entwicklung hat den Prozess für Datenschutzbeauftragte, wie mich, erheblich vereinfacht. Amerikanische Unternehmen können nun ohne umfassende Prüfungen beauftragt werden. Neben der Überprüfung der Zertifizierung ist lediglich ein Data Processing Agreement (DPA) notwendig, um datenschutzrechtlich abgesichert zu sein.
Dies ist die standardmäßige Prüfroutine, die von Datenschutzbeauftragten angewandt wird:
Recherche auf dem angegebenen Portal, ob das jeweilige Unternehmen im DPF zertifiziert ist.
Prüfung des DPA, einschließlich des Konzepts zur Datensicherheit (TOM) und einer Liste der Subunternehmer.
Wenn das Unternehmen nicht zertifiziert ist, müssen weiterhin die Standardvertragsklauseln (SCCs) angewendet werden. Eine besondere Herausforderung ist hier das Transfer Impact Assessment (TIA), dass ein hohes Maß an Fachwissen und Zeit erfordert.
Zusätzlich zu dieser Prüfroutine müssen Organisationen, die dem deutschen Berufsgeheimnis (Ärzte, Anwälte etc.) unterliegen, sicherstellen, dass Datenverarbeiter in den USA ebenfalls diesem gemäß §203 StGB unterliegen. Dies ist essenziell, wenn Daten außerhalb Europas verarbeitet werden sollen.
Fazit:
Sechs Monate nach Einführung des DPF kann eine deutliche Vereinfachung im Umgang mit US-Anbietern/Dienstleistern festgestellt werden. Viele dieser Anbieter haben bereits im Vorfeld umfangreiche Datenschutzmaßnahmen ergriffen, wie zum Beispiel die Speicherung von Daten innerhalb der EU. Interessanterweise konnten europäische Anbieter während des Wegfalls des Privacy Shields keine marktfähigen Produkte zu einem angemessenen Preis-Leistungsverhältnis lancieren. Obwohl hier noch Verbesserungsbedarf besteht, stellt das DPF einen wichtigen Schritt in Richtung eines stärker datenschutzzentrierten digitalen Zeitalters dar.