Worum geht's?
Aller guten Dinge sind drei? Nach der Safe-Harbour-Entscheidung und dem gescheiterten EU-US Privacy Shield, übertrugen Webseitenbetreiber und Unternehmer beim Einsetzen von US-Tools und -diensten Daten rechtswidrig in die USA. Und mussten mit Bußgeldern und Abmahnungen rechnen. Jetzt haben sich die Europäische Kommission und US-Präsident Joe Biden auf einen neuen transatlantischen Datenschutzrahmen (Data Privacy Framework) geeinigt. Dieser ist am 10.07.2023 in Kraft getreten. Mit dem Privacy Shield 2.0 ist die Nutzung von Tracking-/ Analytic- und Marketing-Tools aus den USA wieder zulässig. Allerdings nur unter bestimmten Voraussetzungen. Die Entwicklungen der letzten Jahre und was genau Sie als Webseitenbetreiber jetzt tun müssen, um US-Tools rechtssicher zu verwenden, erklären wir Ihnen im Folgenden.
1. Wie können Webseitenbetreiber personenbezogene Daten rechtssicher in die USA übermitteln?
Im aktuellen Angemessenheitsbeschluss wird festgestellt, dass die USA ein - im Vergleich zur EU - angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an US-Unternehmen übermittelt werden. Aber nur bei solchen Unternehmen, die am EU-US-Datenschutzabkommen teilnehmen.
Wann nehmen US-Unternehmen am neuen Datenschutzrahmen teil?
Damit ein US-Unternehmen als sicherer Datenempfänger gilt und die Grundsätze des Data Privacy Frameworks einhält, muss es durch ein Selbstzertifizierungsverfahren des US-Handelsministeriums (DoC - Department of Commerce). Diese Selbstzertifizierung verlangt, dass ein Unternehmen eine Reihe von Unterlagen einreicht. Sind diese vollständig, wird die Organisation in die DPF (kurz für “Data Privacy Framework”) Liste aufgenommen und gilt als selbst zertifiziert nach den Voraussetzungen des neuen Datenschutzrahmens.
Das klingt zwar nach einem komplizierten Prozess, soll aber in der Praxis nicht so sein. Insbesondere für Unternehmen, die bereits am ersten Privacy Shield teilgenommen haben, soll es verhältnismäßig einfach sein, die Teilnahmebedingungen vom Privacy Shield zum DPF zu erweitern. Solche Unternehmen sollen nun ihre Datenschutzhinweise bezüglich der neu hinzugekommenen Anforderungen des DPF innerhalb von 3 Monaten aktualisieren.
Ist eine US-Organisation einmal zertifiziert, muss sie diese Zertifizierung jedes Jahr erneuern. Das US-Department of Commerce äußerte dazu, dass das Verfahren der Selbstzertifizierung und der jährlichen Neuzertifizierung im Wesentlichen gleich bleibt. Es soll also keine zusätzliche Hürde geschaffen werden.
Was müssen US-Unternehmen also tun?
Schritt 1: Selbstzertifizierung beim DoC vornehmen
Schritt 2: Jährliche Re-Zertifizierung durchführen
Schritt 3: betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten informieren
Dies kann zum Beispiel durch die Verwendung eines Datenschutzhinweises geschehen:
- Teilnahme am Data Privacy Framework
- Arten der erhobenen Daten
- Zwecke der Verarbeitung
- Arten oder Identitäten von Dritten, an die personenbezogene Daten weitergegeben werden können
- Die Zwecke der Weitergabe personenbezogener Daten an Dritte
- Rechte der betroffenen Person
- Kontaktangaben der Organisation
- Verfügbare Rechtsbehelfe
Zu dem gesamten Prozess der Zertifizierung hat die amerikanische Regierung unter folgendem Link eine offizielle Anleitung veröffentlicht.
Was müssen Unternehmer & Webseitenbetreiber in der EU tun, wenn sie Daten in die USA übermitteln wollen?
Europäische Datenexporteure - die personenbezogene Daten aus der EU im Rahmen des Angemessenheitsbeschlusses der Datenschutzbehörde übermitteln möchten - müssen vorher auf der Website der Datenschutzbehörde prüfen, ob der US-Datenempfänger von der Datenschutzbehörde zertifiziert ist. Und außerdem, ob die betreffende Datenübermittlung von dieser Zertifizierung abgedeckt ist.
Zu diesem Zweck gibt es, wie auch schon beim Vorgänger “Privacy Shield", eine Datenbank. Die zertifizierten US-Unternehmen werden in dieser Datenbank gelistet und aufgeführt.
Diese kann auf der Website zum Data Privacy Framework Program unter dem Punkt „Data Privacy Framework List“ aufgerufen werden.
Dort können Webseiteninhaber dann nach den jeweiligen Unternehmen suchen und sicherstellen, dass die notwendige Selbstzertifizierung vorliegt.
Wichtig
In der offiziellen DPF-Liste können Sie nicht nach dem Namen von dem von Ihnen genutzten Tool suchen, sondern nur nach dem Namen des jeweiligen Dienstanbieters dieses Tools.
2. Welche US-Dienstleister können rechtssicher genutzt werden?
Momentan ist der Einsatz aller US-Dienstleister rechtssicher, die unter dem DPF zertifiziert sind.
US-Unternehmen müssen das Selbstzertifizierungsverfahren durchlaufen, um sich dann auf den Angemessenheitsbeschluss berufen zu können.
Im folgenden haben wir für Sie eine Übersicht der 38 am meisten angefragten Tools (Stand: 27.07.2023) zusammengestellt und aufgelistet, ob diese von DPF zertifizierten Unternehmen herausgebracht werden und somit rechtssicher im Gebrauch sind oder nicht. So können Sie direkt bei uns auf der Seite per Suchfunktion nach Ihrem Programm oder Dienstanbieter suchen.
Werden Sie nicht fündig? Bei unserer Liste handelt es sich lediglich um eine Auswahl an Diensten, Tools und Apps. Ist Ihr Suchbegriff nicht in unserer Tabelle enthalten, schauen Sie auf der offiziellen Seite des Data Privacy Framework nach, ob Ihr Programm von einem DPF-zertifizierten Unternehmen heraugebracht wurde. Den Link dazu finden Sie im vorherigen Kapitel.
Legende:
Das Unternehmen ist DPF-zertifiziert.
Das Unternehmen war beim Vorgängerabkommen "EU-US Privacy Shield" gelistet und zertifiziert, hat aber eine Zertifizierung nach dem neuen "EU-US Data Privacy Framework" (noch) nicht vorgenommen. Tools & Programme dieses Unternehmens können nicht ohne zusätzliche geeignete datenschutzrechtliche Garantien (z.B. SCCs & TIA) genutzt werden.
Das Unternehmen ist nicht DPF-zertifiziert und war auch nicht unter dem Vorgängerabkommen "EU-US Privacy Shield" gelistet. Tools & Programme dieses Unternehmens können nicht ohne zusätzliche geeignete datenschutzrechtliche Garantien (z.B. SCCs & TIA) genutzt werden.
Sie haben Ihr Tool nicht gefunden? In der offiziellen DPF-Liste können Sie nach dem Dienstanbieter Ihres Tools suchen und nachsehen, ob das Unternehmen DPF-zertifiziert ist. Gern nehmen wir US-Tools in die Liste auf, die für Sie wichtig sind. Nennen Sie uns Ihre interessanten US-Tools in den Kommentaren.
Brauche ich auch weiterhin eine Einwilligung?
Die Einwilligung brauchen Sie für fast alle Tracking-Tools (also Google Analytics, Meta Pixel, Hotjar etc.).
WICHTIG
Das Inkrafttreten des Data Privacy Framework bedeutet nicht, dass Sie für US-Tools keine Einwilligung mehr über ein Cookie Consent Tool benötigen.
Dabei spielt es keine Rolle, ob das Tool aus den USA kommt oder nicht. Der User soll nämlich entscheiden können, ob er möchte, dass Tools wie Google Analytics diese Daten über ihn oder sie sammeln oder eben nicht. Der Datentransfer in die USA ist eine davon unterschiedliche Problematik.
Dort braucht man geeignete Schutzgarantien, um die Daten in den Drittstaat weitergeben zu können - die mit dem neuen Data Privacy Framework jetzt bestehen.
Das Einholen einer Einwilligung ist also auch weiterhin rechtlich notwendig. Alles zum
Thema Einwilligung für Trackingtools, Cookies und Cookie Consent Tools lesen Sie auf
unserer Übersichtsseite “Cookies, Tracking & Datenschutz: Alle Infos im Überblick”.
3. Checkliste: How-To Datenübermittlung in die USA
- Schritt 1: Zertifizierung des Datenempfängers prüfen - die 38 am meisten angefragten Tools haben wir für Sie in einer Tabelle aufbereitet - diese können Sie direkt bei uns auf der Seite durchsuchen
- Schritt 2: Bei nicht bestehender Zertifizierung US-Unternehmen anfragen: Die Selbstzertifizierung ist nach unserem Wissensstand nicht übermäßig zeitäufwändig und sollte auch für kleine Unternehmen ohne großen Aufwand umsetzbar sein - sollte der von Ihnen gewählte Dienstanbieter also nicht Data Privacy Framework zertifiziert sein, nehmen Sie Kontakt auf und weisen Sie auf die Zertifizierung hin.
- Schritt 3: Aktualisierung der Datenschutzerklärung und des Cookie Banners: Die Privacy Shield Zertifizierung und die entsprechenden Informationen zum Datenempfänger müssen in den Datenschutzhinweisen des Datenschutzexporteurs (Art 13. & 14 GDPR) aktualisiert werden - sowohl in der Datenschutzerklärung als auch im Cookie Banner.
- Schritt 4: Bereits bestehende Standarvertragsklauseln (SCC) behalten: Die SCC können nach wie vor als Instrument zur rechtssicheren Datenübermittlung genutzt werden, haben Sie mit Ihrem Dienstleister bereits SCCs vereinbart, behalten Sie diese.
- Schritt 5: Bei fehlender Zertifizierung weiterhin Transfer Impact Assessment vornehmen (TIA)
Wichtig zu Schritt 3:
Als Webseitenbetreiber können Sie nun auch die langen Hinweistexte zum US-Daten-Transfer aus Ihren Cookie Bannern entfernen, wenn Sie nur DPF zertifizierte Dienste aus den USA nutzen.
Bleiben Sie stets rundum informiert mit Live-Webinaren, eBooks und Checklisten zum Thema Privacy Shield Abkommen, ChatGPT und anderen IT-Rechtsthemen. Sichern Sie Ihre Website und Ihre Online Marketing Aktivitäten mit den eRecht24 Premium Tools ab.
4. Was passiert mit den Standardvertragsklauseln und dem Transfer Impact Assessment (TIA)?
Haben Sie in der Vergangenheit Verträge mit Dienstleistern in den USA geschlossen, mussten Sie die von der Europäischen Union bereitgestellten Standardvertragsklauseln (SCC) zwingend abschließen und im Rahmen eines Transfer Impact Assessments (TIA) eine eigene Bewertung des Schutzniveaus für Datenübermittlung vornehmen. Sodass Sie sowohl technische als auch organisatorische Maßnahmen ergreifen mussten, um den Schutz der personenbezogenen Daten der Endbenutzer zu gewährleisten. TOMs können Sie mit unserem Datenschutz-Management-System auf eRecht24 Premium erstellen und verwalten. Standardvertragsklauseln und TIA waren also die Grundlage für die meisten Datentransfers in die USA.
Das ist jetzt nicht mehr der Fall. Nur, wenn der Datenempfänger seinen Sitz in den USA hat und sich nicht einer Zertifizierung nach DPF unterzieht, bleibt es bei den bisherigen Regelungen - also der Verwendung von SCC und der Durchführung eines Transfer Impact Assessment (TIA).
Die gute Nachricht ist also, dass die Nutzung nicht-zertifizierter Anbieter nicht allein dadurch ausgeschlossen ist, dass keine Selbstzertifizierung erfolgt. Die schlechte: Das organisationsaufwändige Verfahren vor dem DPF bleibt in diesen Fällen für den Datenexporteur bestehen.
5. Deshalb war der Datenaustausch zwischen EU und USA ein Problem
Innerhalb der EU gelten strenge Regeln, was den Umgang mit personenbezogenen Daten von EU-Bürgern betrifft. Diese dienen vor allem unserem Schutz, müssen aber natürlich gleichzeitig auch eingehalten werden. Übermittelt ein Unternehmer also personenbezogene Daten von Nutzern, die in der EU ansässig sind, in andere Länder außerhalb der EU, muss er oder sie sicherstellen, dass dort ein vergleichbares Schutzniveau für personenbezogene Daten geboten wird wie in der Europäischen Union.
Ist das der Fall, können Übermittlungen in ein sicheres Drittland genauso gehandhabt werden wie Datenübermittlungen innerhalb der EU. Die Entscheidung, ob ein Land als sicheres Drittland gehandelt werden darf, trifft die Europäische (EU) Kommission. Und zwar mit einem Angemessenheitsbeschluss (engl. adequacy decision). Ist ein Angemessenheitsbeschluss angenommen, können personenbezogene Daten frei und sicher aus dem Europäischen Wirtschaftsraum in ein Drittland übermittelt werden, ohne dass weitere Bedingungen oder Genehmigungen erforderlich sind.
Beim Datenverkehr zwischen der EU und den USA gab es allerdings Bedenken bezüglich des Datenschutzniveaus, das die US-Regierung und ihre Geheimdienste bieten. Deshalb erklärte der Europäische Gerichtshof (engl. european court of justice) 2015 und 2020 die schon bestehenden Angemessenheitsbeschlüsse für ungültig. Er entschied, dass durch das Data Privacy Framework die Daten von EU-Bürgern nicht angemessen vor den Überwachungsmaßnahmen der USA geschützt waren.
Alle zeitlichen Entwicklungen und einen visuellen Überblick zu den Geschehnissen finden Sie weiter unten in diesem Artikel.
Dadurch wurde das Nutzen von Diensten, Programmen und Tools, die beim Aufrufen von Webseiten die personenbezogenen Daten des EU-Bürgers an Server in die USA übermitteln, unzulässig. Der Datentransfer war somit nur unter umfangreichen zusätzlichen Vorsichtsmaßnahmen vertretbar - und selbst dann bewegte er sich stets in einem Graubereich. Ein legaler Datentransfer in die USA war damit faktisch unmöglich. Das soll sich nun ändern.
6. Ziele des EU-US Data Privacy Abkommens
Die Ziele des neuen Trans-Atlantic Data Privacy Framework sind:
- Ein angemessener Schutz der in die USA übermittelten Daten von EU-Bürgern gemäß dem Urteil des Europäischen Gerichtshofs (Schrems II).
- Sichere und geschützte Datenflüsse.
- Eine dauerhafte und verlässliche Rechtslage für Unternehmen.
- Eine wettbewerbsfähige digitale Wirtschaft und wirtschaftliche Zusammenarbeit.
- Die Förderung des grenzüberschreitenden Handels, der jedes Jahr ca. 900 Milliarden Euro ausmacht.
7. Wie gehts weiter?
Auch wenn die so lange ersehnte Regelung zur Datenübermittlung in die USA mit dem Privacy Shield 2023 jetzt da ist, kann es sein, dass der Grund zur Freude nicht für immer währt. Es werden bereits Stimmen laut, die auch die jetzigen Regelungen nicht für datenschutzkonform halten. Insbesondere Max Schrems, der für die beiden Entscheidungen des EuGH “Schrems I und II” verantwortlich ist, hat angekündigt, erneut vor dem EuGH zu klagen. Was heißt das für Sie als Webseitenbetreiber und Unternehmer?
Erstmal abwarten. Jetzt ist der neue Datenschutzrahmen in Kraft getreten und bis es zu einer eventuellen Neu-Evaluierung kommt, wird einige Zeit vergehen. Verfahren vor dem EuGH sind keine kurzfristige Angelegenheit.
Aktuelle Entwicklungen
Der EU-Parlamentarier Philippe Latombe hat Klage gegen den Beschluss der EU-Kommission zum DPF eingereicht und im Eilverfahren eine Aussetzung des Vollzugs des Data Privacy Frameworks beantragt. Der Antrag ist erfolglos geblieben und wurde am 12. Oktober 2023 vom Europäischen Gericht (EuG) zurückgewiesen.
Philippe Latombe stützte den Antrag darauf, dass der DPF die ungerechtfertigte Übertragung seiner persönlichen Daten von Plattformen wie Microsoft 365 und Google an Organisationen in den USA ermöglichen würde. Hierdurch würden seine Rechte gemäß der DSGVO und der Grundrechtecharta beeinträchtigt.
Das EuG lehnte den Antrag mit der Begründung ab, dass Philippe Latombe keine detaillierten persönlichen Schäden aufgezeigt oder konkrete Beweise für seine Behauptungen vorgelegt habe.
Nun bleibt die Entscheidung im Hauptsacheverfahren abzuwarten.
Max Schrems plant ein anderes Vorgehen und will gegen Unternehmen, die sich auf den DPF berufen, vor nationalen Gerichten klagen. Die Fälle sollen dann erst im Wege des Vorabentscheidungsverfahrens vor dem EuGH landen.
8. Die bisherigen Entwicklungen – Von Safe Harbour bis heute
Nun ist das neue EU-US Data Privacy Framework endlich in Kraft getreten. Bis hierher war es allerdings ein langer Weg. Alle Ereignisse und Meilensteine bis zum Privacy Shield 2.0 haben wir für Sie zusammengetragen - damit Sie sich ein eigenes Bild machen können. Unseren Zeitstrahl mit den wichtigsten Eckpunkten (beispielsweise zur Executive Order) finden Sie am am Ende der Seite.
Die Entwicklungen im Überblick
-
Safe-Harbor-Abkommen: Die Europäische Union und die USA ergreifen mit dem Safe-Harbor-Abkommen Maßnahmen, um den Datenschutz von personenbezogenen Daten zu gewährleisten.
-
USA-Patriot Act: Als Reaktion auf den 11. September 2001 verabschiedet der US-Kongress den USA-Patriot Act.
-
USA-Freedom Act: Der USA-Patriot Act wird durch den USA-Freedom Act versetzt. Dieses Bundesgesetz erlaubt es den US-Behörden (wie FBI, NSA und CIA), ohne richterliche Anordnung, auf die Server von US-Unternehmen sowie dessen ausländische Tochterfirmen zuzugreifen, auch wenn lokale Gesetze dies untersagen („Executive Order“). Die US-Behörden haben damit einen uneingeschränkten Zugriff auf die Nutzerdaten, die die US-Unternehmen auf den Servern speichern.
-
Schrems-I-Urteil: Der EuGH entscheidet, dass das Safe-Harbour-Abkommen zwischen der EU und den USA nicht den notwendigen Anforderungen entspricht. Der Grund: Die Weitergabe von personenbezogenen Daten nach Verlassen der EU ist nach der Datenschutzgrundverordnung (DSGVO) explizit untersagt. Der USA-Freedom Act höhlt damit die europäischen Datenschutzgesetze aus und verletzt das Grundrecht der Endnutzer auf Achtung des Privatlebens.
-
Privacy-Shield 1.0: Die Europäische Kommmission und die USA geben die Einigung auf das EU-U.S.-Privacy Shield-Abkommen bekannt, um den Datenaustausch in die USA wieder problemlos zu ermöglichen und zeitgleich die Daten der Nutzer zu schützen.
-
Schrems-II-Urteil: Der EuGH erklärt den EU-U.S.-Privacy Shield ebenfalls für ungültig, denn die USA ermöglicht weiterhin, dass U.S.-Behörden fast uneingeschränkten Zugang zu personenbezogenen Daten von EU-Bürgern auf Servern in den USA haben.
-
SCCs: Die EU-Kommission verabschiedet als Reaktion auf das EuGH-Urteil neue Standardvertragsklauseln („Standard Contractual Clauses“ – SCCs), die ab dem 27. Dezember 2022 ihre volle Gültigkeit besitzen. Ein Datentransfer nach den alten SCCs ist dann nicht mehr möglich.
-
Executive Order: U.S.-Präsident Joe Biden schafft durch die Executive Order die Rechtsgrundlage, damit die EU-Kommission einen Angemessenheitsbeschluss erstellen kann - das geplante Abkommen läuft nicht mehr unter dem Namen „Trans-Atlantic Data Privacy Frame-work“, sondern heißt ab jetzt EU-U.S. Data Privacy Framework.
-
Angemessenheitsentscheidung für das geplante EU-U.S. Data Privacy Framework: Bekanntgabe des Entwurfs einer Angemessenheitsentscheidung für das geplante EU-U.S. Data Privacy Framework durch die Europäische Kommission. Im Entwurf des Angemessenheitsbeschlusses kommt die Europäische Kommission zu dem Entschluss, dass die USA ein angemessenes Schutzniveau bieten, um personenbezogene Daten aus der Europäischen Union in die USA zu übermitteln. Damit ist wieder ein wichtiger Schritt getan, in Richtung Privacy Shield 2.0.
-
Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments empfiehlt Ablehnung des Datenschutzrahmens „Data Privacy Framework“: Wegen unzureichender Umsetzung der notwendigen Schutzmaßnahmen durch die USA hat der Ausschuss seine Bedenken geäußert und der EU-Kommission empfohlen, den Datenschutzrahmen abzulehnen. Der Ausschuss steht dabei unter anderem besonders der jederzeit problemlosen Aufhebung der Executive Order durch US-Präsident Biden kritisch gegenüber.
-
EDPB begrüßt neuen Datenschutzrahmen: Der Europäischer Datenschutzausschuss (EDPB) hat sich hingegen für den neuen Datenschutzrahmen ausgesprochen. Zwar äußert auch er seine Bedenken in Bezug auf die Ausnahmen einer massenhaften Datenerhebung sowie der praktischen Umsetzung durch die Biden-Administration. Jedoch bringt der Datenschutzrahmen eine Reihe der vom EuGH geforderten Voraussetzungen mit, um einen sicheren Datenaustausch zwischen der EU und der USA zu gewährleisten.
-
Es ist offiziell: Inkrafttreten des neuen Datenschutzrahmens für den sicheren Datentransfer aus der EU in die USA.
- Zurück zur Übersicht: "Datenschutz"
- Recht auf informationelle Selbstbestimmung (Grundgesetz)
- BDSG-neu
- Kopplungsverbot
- ePrivacy Verordnung
- Privacy Shield (nicht mehr gültig!)
- TMG
- TDDDG (ehemals TTDSG)
- Hinweisgeberschutzgesetz
- Digital Service Act - EU-Gesetz über digitale Inhalte
- Digitale Dienste Gesetz (DDG)
- Data Governance Act (DGA)