EU – U.S. Data Privacy Framework – Privacy Shield 2.0 – TADPF
Was ist das Data Privacy Framework (DPF)?
Sind alle guten Dinge drei? Nach dem Safe-Harbour-Abkommen und dem vom EuGH für nichtig erklärtem Privacy Shield (Schrems II Urteil) können verantwortliche Stellen nun auf das Trans Atlantic Data Privacy Framework (TADPF, Privacy Shield 2.0) zurückgreifen, sofern personenbezogene Daten in die USA übermittelt werden sollen.
Das TADPF bildet die Grundlage für einen im Juni 2023 gefassten Beschluss der EU-Kommission, in dem das Datenschutzniveau für zertifizierte Unternehmen in den USA für angemessen erklärt wird („Angemessenheitsbeschluss“).
Der Data Privacy Framework ist am 10.07.2023 in Kraft getreten.
Der Angemessenheitsbeschluss kann nunmehr als Grundlage für Datenübermittlungen an zertifizierte Organisationen in den USA dienen.
Mit dem Privacy Shield 2.0 ist die Nutzung von Cookies und Tracking- sowie Analytics- und Marketing-Tools aus den USA wieder zulässig. Allerdings nur unter speziellen Voraussetzungen.
Was Sie als Webseitenbetreiber nun tun müssen, um US-Tools zu verwenden bzw. personenbezogene Daten in die USA datenschutzkonform zu übermitteln, zeigen wir Ihnen in diesem Beitrag.
Wann nimmt ein US-Unternehmen am neuen Data Privacy Framework teil?
Ein US-Unternehmen kann als sicherer Datenempfänger angesehen werden, wenn das US-Unternehmen sich an die Grundsätze des TADPF hält. Hierzu muss es zunächst durch ein Selbstzertifizierungsverfahren, ein sog. Selbst-Audit, des US-Handelsministeriums (DoC – Department of Commerce – https://www.commerce.gov/).
Zum Erreichen der Zertifizierung, muss das Unternehmen zahlreiche Unterlagen einreichen. Sind diese vollständig, wird das jeweilige US-Unternehmen in die Data-Privacy-Framework-Liste aufgenommen und gilt somit als zertifiziert im Rahmen des neuen Datentransferabkommens.
Denkt man zunächst an ein Audit, klingt dies nach einem sehr komplexen und komplizierten Prozess. Die Praxis beweist das Gegenteil. Insbesondere für US-Unternehmen, die bereits am ersten EU-US-Privacy Shield teilgenommen haben, soll es entsprechend einfach sein, die damaligen Anforderungen vom EU-US-Privacy Shield auf das DPF anzupassen. Jene Unternehmen sind angehalten ihre Datenschutzhinweise bezüglich der neu hinzugekommenen Anforderungen des Data Privacy Framework innerhalb von 3 Monaten anzupassen.
Ein bereits zertifiziertes US-Unternehmen, muss die Zertifizierung jedes Jahr erneuern. Eine Rezertifizierung entspricht dem identischen Vorgehen, wie bei einer Neu-Zertifizierung.
Eine detaillierte „Anleitung“ zum Prozess der Zertifizierung hat die US-Regierung unter folgendem Link veröffentlicht: Anleitung downloaden (PDF-Format).
Schritte der DPF-Zertifizierung
Folgende Schritte müssen US-Unternehmen unternehmen, um eine Angemessenheits-Zertifizierung zu erhalten:
- Selbstzertifizierung beim Department of Commerce (DoC) vornehmen
- Jährlich Rezertifizieren
- Betroffene Personen über die Datenverarbeitung informieren im Sinne der Transparenzpflichten, z.B. über entsprechende Informationspflichten bzw. Datenschutzhinweise nach Art. 13/14 DSGVO
Liste der zertifizierten Unternehmen des Data Privacy Frameworks
Der Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework verfolgt einen sektoralen Ansatz, wonach an US-Unternehmen personenbezogene Daten übermittelt werden können, sofern diese Unternehmen sich beim U.S. Department of Commerce zertifiziert haben.
Das U.S. Department of Commerce veröffentlicht eine entsprechende Liste, anhand welcher überprüft werden kann, ob das betreffende Unternehmen zertifiziert ist und personenbezogene Daten übermittelt werden dürfen.
Ob ein US-Unternehmen zertifiziert ist, kann unter folgendem Link eingesehen werden: https://www.dataprivacyframework.gov/s/participant-search
Hier am Beispiel der Microsoft Corporation sowie der 19 Töchterunternehmen.
Datenübermittlung in die USA – Was ist zu tun?
EU-Unternehmen, welche personenbezogene Daten in die USA übermitteln möchten, müssen vorher auf der Webseite des DPF überprüfen, ob der Datenempfänger zertifiziert ist und dementsprechend auf der Liste der zertifizierten Unternehmen des Data Privacy Frameworks (Data Privacy Framework List) steht.
Ebenfalls muss überprüft werden, ob die bevorstehende Datenübermittlung auch von dieser Zertifizierung abgedeckt ist, z.B. Personaldaten (HR) oder Nicht-Personaldaten (Non-HR).
In wenigen Schritten zum datenschutzkonformen Datentransfer in die USA
- Überprüfen ob eine DPF-Zertifizierung besteht
- Sollte keine Zertifizierung bestehen, fragen Sie das US-Unternehmen an, ob eine Zertifizierung umsetzbar ist, da der Aufwand einer Zertifizierung als eher gering einzustufen ist.
- Anpassung der Informationspflichten und ggf. der Datenschutzerklärung sowie Cookie-Banner i.S.v.
Art. 13/14 DSGVO mit dem Hinweis auf das DPF
Besteht keine Zertifizierung des US-Unternehmen können weiterhin Standardvertragsklauseln (SCC) in Verbindung mit einem Transfer Impact Assesment (TIA) geschlossen werden, um eine datenschutzkonforme US-Übermittlung vorzunehmen.
Was ist mit den Cookies?
Zwar können personenbezogene Daten nun auf Basis des TADPF an US-Unternehmen übermittelt werden, dies bedeutet jedoch nicht das keine Einwilligung mehr benötigt wird.
Die Einwilligung benötigen Sie für fast alle Tracking-Tools, wie z.B. Google Analytics, Meta Pixel, Hotjar etc.. Es ist dabei egal, ob das Tool aus den USA kommt oder nicht. Der Betroffene soll nämlich entscheiden können, ob er möchte, dass Plugins wie Google Analytics diese Daten über ihn oder sie verarbeiten oder eben nicht. Hinzu kommen noch die rechtlichen Vorgaben aus dem TTDSG (§ 25 TTDSG).
Wen schützt das Hinweisgeberschutzgesetz?
Wen schützt das Hinweisgeberschutzgesetz? Definition der beruflichen Tätigkeit Wen schützt das Hinweisgeberschutzgesetz? Im Rahmen der Umsetzung des Hinweisgeberschutzgesetzes (HinSchG) stellen sich Organisationen sowie Meldestellenbeauftragte oft die Frage, welche Personen ... mehr lesen
Was ist ein Hinweisgebersystem?
Was ist ein Hinweisgebersystem? Ein Hinweisgebersystem, auch als Whistleblower System bekannt, ist eine Plattform, die es Personen, sogenannten Whistleblowern, ermöglicht, verdächtige Aktivitäten oder Fehlverhalten innerhalb einer Organisation anonym oder ... mehr lesen