Bild: Generiert mit Gemini Flash

EU-US Data Privacy Framework beschlossen: der Nachfolgebeschluss steht

2 Min Lesezeit Serie: Grundlagen-Reihe #jurisdiktion#dsgvo#dpf#update

Die EU-Kommission hat am 10. Juli 2023 den Angemessenheitsbeschluss zum EU-US DPF erlassen. Was das praktisch für Datenübermittlungen bedeutet und warum die juristische Unsicherheit bleibt.

Inhalt dieses Beitrags
  1. Was ist neu
  2. Was sich praktisch ändert
  3. Einordnung
  4. Häufige Fragen
  5. Muss ich jetzt nichts mehr prüfen, wenn mein US-Dienstleister DPF-zertifiziert ist?
  6. Ist das DPF rechtlich sicher, oder kippt es wie seine Vorgänger?
  7. Was bedeutet das für Anbieter mit EU-Tochter eines US-Konzerns?

Was ist neu

Die EU-Kommission hat am 10. Juli 2023 den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (DPF, ein formeller Beschluss, der einem Drittland ein gleichwertiges Datenschutzniveau bescheinigt) erlassen (Durchführungsbeschluss (EU) 2023/1795). Für Datenübermittlungen an US-Unternehmen, die sich unter dem DPF zertifiziert haben, gilt damit ein nach DSGVO (Datenschutz-Grundverordnung) vergleichbares Schutzniveau.

Für wen ist das? Für Datenschutz-Verantwortliche, die Datentransfers in die USA bewerten.

Das DPF erleichtert die Transfer-Grundlage zu zertifizierten US-Empfängern, ändert aber nichts an CLOUD Act und FISA 702 - der strukturelle Zugriff bleibt.
Das DPF erleichtert die Transfer-Grundlage zu zertifizierten US-Empfängern, ändert aber nichts an CLOUD Act und FISA 702 - der strukturelle Zugriff bleibt.

Was sich praktisch ändert

Übermittlungen an DPF-zertifizierte US-Empfänger benötigen keinen separaten Prüfprozess mehr; SCCs (Standardvertragsklauseln, von der EU vorformulierte Vertragsbausteine für Datentransfers) mit ergänzenden Maßnahmen sind für diese Empfänger nicht mehr nötig. Nicht-zertifizierte US-Empfänger bleiben im SCC-plus-Prüfung-Regime. Die zugrundeliegende US-Rechtslage ändert sich nicht: CLOUD Act (US-Gesetz, das US-Behörden Zugriff auf Daten von US-Anbietern auch im Ausland erlaubt), FISA 702 (Rechtsgrundlage US-amerikanischer Auslandsaufklärung) und die neue Executive Order 14086 (Data Protection Review Court) stehen weiter; das DPF legt nur eine zusätzliche US-interne Beschwerdemöglichkeit darüber.

Einordnung

Unser Hauptartikel Warum deutsche Jurisdiktion für Cloud-Daten zählt vom April 2023 hatte das DPF als geplanten, aber noch offenen Beschluss genannt. Er ist jetzt da; die juristische Unsicherheit bleibt: Max Schrems und noyb haben die nächste EuGH-Klage (Europäischer Gerichtshof) angekündigt. Wer US-Zugriff strukturell ausschließen will, bleibt bei der Empfehlung aus dem Hauptartikel: Anbieter mit rein EU-Gesellschafterstruktur wählen, nicht US-Konzerne mit EU-Tochter.

Häufige Fragen

Muss ich jetzt nichts mehr prüfen, wenn mein US-Dienstleister DPF-zertifiziert ist?

Für die reine Transfer-Grundlage entfällt die bisherige Einzelfallprüfung mit Standardvertragsklauseln und Zusatzmaßnahmen, solange der Empfänger aktuell auf der offiziellen DPF-Liste steht. Prüfen sollten Sie aber, ob die Zertifizierung noch gültig ist und den konkreten Datentyp abdeckt, denn eine abgelaufene oder eingeschränkte Zertifizierung trägt den Transfer nicht.

Ist das DPF rechtlich sicher, oder kippt es wie seine Vorgänger?

Sicherheit gibt es nicht. Die beiden Vorgängerregelungen (Safe Harbor und Privacy Shield) wurden vom Europäischen Gerichtshof gekippt, und gegen das DPF ist bereits die nächste Klage angekündigt. Wer ein laufendes Restrisiko vermeiden will, stützt sich nicht allein auf den Angemessenheitsbeschluss, sondern wählt einen Anbieter ohne US-Zugriff.

Was bedeutet das für Anbieter mit EU-Tochter eines US-Konzerns?

Eine EU-Tochter ändert nichts daran, dass der US-Mutterkonzern dem CLOUD Act unterliegt und Daten der Tochter herausverlangt werden können. Das DPF adressiert die Transfer-Grundlage, nicht den strukturellen Zugriff. Für einen strukturellen Ausschluss zählt die Gesellschafterstruktur, nicht der Serverstandort.