Kann das Data Privacy Framework wirklich als Grundlage für die Übermittlung in die USA genutzt werden?

Kurzer Spoiler für alle, die nicht zu viel lesen wollen: Die Antwort lautet “ja”. Weitere Details beziehungsweise Hintergründe finden sich dann im folgenden Text.

Seit dem 10. Juli 2023 gilt der neue Angemessenheitsbeschluss EU-U.S. Data Privacy Framework (DPF) für Datentransfers in die USA für Unternehmen, die den Zertifizierungsprozess durchlaufen haben. Die Verhandlungen zwischen der EU-Kommission und der US-Regierung haben weit über ein Jahr benötigt. Im Ergebnis verspricht die US-Regierung, die Zugriffe auf personenbezogene Daten der Geheimdienste und Ermittlungsbehörden der USA auf das notwendige Maß einzuschränken. Weitere Details zum DPF und den Verhandlungsprozess finden Sie hier, hier und hier.

Und jetzt geht wieder alles wie früher?

Die Aussage hinter dem DPF ist: “Wenn Sie Daten an einen Empfänger in den USA übermitteln möchten und dieser Empfänger sich auf der Zertifizierungsliste findet, können Sie das so tun, wie bei jedem anderen Angemessenheitsbeschluss auch”. Dennoch bleibt aktuell bei vielen Verantwortlichen stets ein schlechtes Bauchgefühl. Letztes Jahr wurden Unternehmen mehr oder weniger damit erpresst, Schmerzensgelder zu leisten, weil auf der Webseite Google-Fonts verwendet wurde und damit die IP-Adresse an Google in die USA übermittelt worden sein soll. Ausgelöst wurde dies durch ein Urteil des LG München im Januar 2022, hier unser damaliger Artikel dazu. Und nun mit dem DPF soll es von jetzt auf gleich wieder problemlos möglich sein? Google-Fonts soll wieder vollkommen ohne Einwilligung als extern genutzter Schriftarten-Service eingebunden werden können? Mit der Rechtsgrundlage “berechtigtes Interesse” (Art. 6 Abs. 1 lit. f DSGVO)? Wir können absolut nachvollziehen, dass hier unter Umständen Hemmungen bestehen.

Der HmbBfDI sagt: “Na klar!”

An dieser Stelle möchten wir auf eine Pressemitteilung des Hamburgischen Beauftragten für den Datenschutz und die Informationsfreiheit (HmbBfDI, die hamburgische Datenschutzaufsichtsbehörde) vom 19.09.2023 hinweisen. Diese hätte unseres Erachtens in der Datenschutz-Welt für deutlich mehr positive Aufmerksamkeit sorgen können, als sie es letztlich getan hat. Der HmbBfDI teilt in der Pressemitteilung mit, dass er einen laufenden Rechtsstreit mit der Hamburgischen Senatskanzlei vor dem Verwaltungsgericht Hamburg beigelegt hat. Er schreibt darin:

Am 10.7.2023 hat die Europäische Kommission einen sog. Angemessenheitsbeschluss („Adequacy decision for the EU-US Data Privacy Framework“) gem. Art. 45 Abs. 1 DSGVO [hier der Link zum Verordnungstext] bekannt gegeben. Danach bietet die USA nun ein angemessenes Datenschutzniveau, die Übermittlung personenbezogener Daten in die USA ist auf dieser Grundlage wieder möglich. Damit hat sich die Rechtslage gegenüber 2021 geändert, die tragenden Gründe der „Warnung“ aus August 2021 sind jedenfalls gegenwärtig entfallen.

HmbBfDI und Senatskanzlei haben sich vor diesem Hintergrund darauf verständigt, dass eine Fortführung des Rechtstreits nicht mehr zielführend ist. Insbesondere besteht kein Interesse daran, gerichtlich für die Vergangenheit klären zu lassen, ob die „Warnung“ unter der alten Rechtslage zutreffend war oder nicht.

Anders formuliert: “Es gibt jetzt einen Angemessenheitsbeschluss und Zoom ist zertifiziert und kann damit genutzt werden”. Der Nachsatz bescheinigt dem HmbBfDI darüber hinaus, dass er sorgsam mit Steuergeldern umgeht und einen nun sinnlosen Rechtsstreit nicht zuende führt, nur weil er Recht behalten möchte, dass die Nutzung in der Vergangenheit (ohne DPF) unzulässig war.

Diese Entscheidung könnte zwar in der Zukunft wieder an Relevanz gewinnen, da bereits angekündigt wurde, gegen das DPF vorgehen zu wollen. Sofern es aber erneut zu einem Urteil des EuGH kommt, der zum Wegfall des DPF führt, wie bereits bei den zwei Vorgängerabkommen Safe Harbour (das war in 2016, diesen alten Artikel haben wir bereits gelöscht, daher hier kein Link darauf…) und Privacy Shield geschehen, gehen wir davon aus, dass sich die Datenschutz-Welt so stark weiter gedreht hat, dass es sinnvoll ist, diesen Streit erst dann zu führen, wenn er zu einem Urteil führt, welches die dann geltenden Rahmenbedingungen berücksichtigt.

Fazit

Zurück zum ersten Satz dieses Artikels: Mit dem HmbBfDI akzeptiert also eine Datenschutzaufsichtsbehörde das DPF ganz offiziell. Wir gehen aktuell davon aus, dass Übermittlungen an nach DPF zertifizierte Empfänger ebenso problemlos möglich sind, wie bei jedem anderen Angemessenheitsbeschluss auch. Wie lange das gilt, wissen wir leider nicht. Wir gehen aktuell davon aus, dass wir bis mindestens Ende 2024 Ruhe haben werden. Daher lautet die Empfehlung auch, bestehende andere Garantien gemäß Kapitel 5 DSGVO sowie die dazugehörenden Transfer Impact Assessments (TIA) bestehen zu lassen und gegebenenfalls sogar weiter zu pflegen.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.