Update Datenschutz Nr. 152
Aufsichtsbehörde gibt Anleitung zur Umsetzung des neuen Data Privacy Frameworks
Der Bayerische Landesbeauftragte für den Datenschutz hat als erste deutsche Datenschutzbehörde vor wenigen Tagen eine ausführliche Hilfestellung für Unternehmen zum Umgang mit dem EU-US Data Privacy Framework veröffentlicht, dem Nachfolger des EU-US Privacy Shield. Dieser Artikel gibt einen Überblick zu den wichtigsten, von den Behörden geforderten Umsetzungsschritten im Hinblick auf die Nutzung von US-Cloud-Services wie Amazon AWS, Microsoft Azure, Google Cloud, Salesforce & Co.
Das EU-US Data Privacy Framework
Nachdem die Vorgängerversionen Safe Harbour und Privacy Shield vom Europäischen Gerichts für ungültig erklärt worden waren, bestand in den vergangenen Jahren seit 2020 Unsicherheit zur Inanspruchnahme von Cloud-Services von US-Providern. Diese beiden Angemessenheitsbeschlüsse der EU-Kommission dienten jeweils als Rechtsgrundlage für die Übermittlung personenbezogener Daten in den Drittstaat USA, legitimierten also auch eine Speicherung dieser Daten auf US-Servern. Seit 2020 müssen EU-Unternehmen nun auf andere Garantien des Art. 46 DSGVO zurückgreifen, wenn eine Speicherung ihrer Daten auf US-Servern erfolgt oder nicht ausgeschlossen werden kann. Dies betrifft insbesondere US-Cloud-Services wie Amazon AWS, Microsoft Azure, Google Cloud oder auch bereits US-Trackingtools für Webseiten wie Google Analytics oder US-SaaS-Services wie Salesforce, Dropbox, Facebook etc. Denn auch wenn jeweils lediglich die EU-Server dieser US-Provider in Anspruch genommen wurden, so war eine Weiterleitung bestimmter, personenbezogener (Meta-)Daten auf US-Server oder ein Datenzugriff durch US-Behörden nicht auszuschließen. EU-Unternehmen griffen daher bislang auf EU-Standardvertragsklauseln zurück, die von den US-Providern angeboten werden und eine Verpflichtung zur Einhaltung von EU-Datenschutzregeln vorsehen. Dies reichte jedoch dem EuGH und seit 2020 auch den EU-Behörden nicht aus, auch nachdem die neuen EU-Standardvertragsklauseln in 2021 veröffentlicht wurden. Vielmehr verlangten die Behörden umfangreiche Risikobewertungen (Data Transfer Impact Assessment) und ergänzende technische Maßnahmen wie Verschlüsselung oder Pseudonymisierung, was jedoch nur mit erheblichem Mehraufwand umzusetzen war. Die Unsicherheit bei EU-Unternehmen war daher bis vor wenigen Wochen groß.
Seit dem 10. Juli 2023 gibt es jedoch nun einen neuen Angemessenheitsbeschluss der EU-Kommission, das EU-US Data Privacy Framework (nachfolgend "DPF"). Er sieht vor, dass die obigen Zusatzmaßnahmen und auch der Abschluss der EU-Standardvertragsklauseln für die Inanspruchnahme zertifizierter US-Provider nicht mehr notwendig sind. Wir hatten hierzu ausführlich berichtet (siehe unser Update Datenschutz Nr. 149).
Die neue Hilfestellung der Bayerischen Datenschutzaufsicht
Der Angemessenheitsbeschluss der EU-Kommission liest sich für Nicht-Juristen allerdings nicht leicht. Das 136-seitige Dokument nimmt ausführliche Bezug auf die Rechtslage zum Datenzugriff durch US-Behörden und leitet her, weshalb die neuen Absprachen mit der US-Regierung bei Inanspruchnahme zertifizierter Unternehmen ein angemessenes Datenschutzniveau herstellen können. Die EU-Aufsichtsbehörden hatten umfassend über den Angemessenheitsbeschluss berichtet, jedoch bislang (nach hiesiger Kenntnis) keine konkrete Umsetzungshilfe bereitgestellt. Dies hat der Bayerische Landesbeauftragte für den Datenschutz nun in einem „Erste-Hilfe“-Leitfaden nachgeholt.
Er gibt insbesondere folgende Umsetzungshinweise für die zukünftige Inanspruchnahme von US-Cloud-Providern:
- Die Inanspruchnahme von US-Providern (und damit die Datenübermittlung auf US-Server) ist nur durch das DPF legitimiert, wenn der US-Provider sich vorher selbstzertifiziert hat und in die Liste der zertifizierten Unternehmen aufgenommen wurde. Bislang sieht die Liste seit dem 10. Juli 2023 bereits ca. 2500 US-Unternehmen vor.
- Die US-Provider müssen ihre Zertifizierung jährlich erneuern. Insoweit dürften Services dieser Provider im Falle einer Nichtverlängerung nicht mehr allein auf Grundlage des DPF in Anspruch genommen werden. Es ist daher ein jährlicher Überprüfungsprozess der betreffenden EU-Unternehmen einzurichten.
- Es gibt US-Unternehmen, die sich nicht für den Bereich der "Personaldaten" zertifiziert haben lassen. In diesem Fall dürfen an diesen US-Provider keine Personaldaten auf Grundlage des DPF übermittelt werden. Aus der obigen Liste lässt sich entnehmen, ob eine entsprechende Zertifizierung für Personaldaten vorliegt (HR/Non-HR). EU-Unternehmen müssen daher vor Einstellung von Personaldaten in etwaige US-Cloud-Services eine entsprechende Vorprüfung vornehmen.
- Auch bei einer Zertifizierung des US-Providers nach DPF ist im Rahmen der Zwei-Stufen-Prüfung eine Rechtsgrundlage für die Datenübermittlung an Dritte insgesamt festzustellen (im Regelfall Art. 6 DSGVO oder Art. 28 DSGVO) und zu dokumentieren.
- Setzt der US-Provider eigene IT-Dienstleister in weiteren Drittländern (also außerhalb der EU/EWR und USA) ein, so muss das EU-Unternehmen vor der Datenübermittlung feststellen, ob diese Subauftragnehmer angemessen nach Art. 46 DSGVO verpflichtet wurden. Für diese gilt das DPF nicht.
- Das eigene Verarbeitungsverzeichnis der EU-Unternehmen nach Art. 30 DSGVO muss aktualisiert werden, denn die Rechtsgrundlage für die Inanspruchnahme dieser US-Services hat sich infolge des Angemessenheitsbeschlusses geändert.
- Auch die eigenen Datenschutzhinweise sind nach Art. 13 DSGVO anzupassen im Hinblick auf eine etwaige Datenübermittlung auf US-Server.
- Bei Inanspruchnahme von Social-Media-Plattformen wie Facebook kann die Zertifizierung nach DPF nicht legitimieren, dass ggf. eine gemeinsame Verantwortlichkeit mit dem EU-Betreiber der betreffenden Fanpage vorliegt. Diese EU-Unternehmen müssen daher unabhängig vom DPF sicherstellen, dass nach Art. 26 DSGVO eine Vereinbarung zur gemeinsamen Verantwortlichkeit vorliegt und die Verarbeitung beider Parteien auch im Einklang mit diesen Regeln erfolgt.
Fazit
Das neue DPF wird es EU-Unternehmen aus rechtlicher Sicht sehr erleichtern, Cloud-Services von US-Providern in Anspruch zu nehmen. Die bislang sehr aufwändige Prüfung zur Angemessenheit fällt weg. Allerdings ist zu beachten, dass sich – bis auf einige Zugeständnisse der US-Regierung – nicht viel im Vergleich zum EU-US Privacy Shield geändert hat. Wir rechnen daher damit, dass der EuGH in einigen Jahren auch das neue DPF auf den Prüfstand stellt und dann ggf. wieder für ungültig erklärt. Bis dahin dürfte jedoch unter Beachtung der obigen Regeln bei EU-Unternehmen wieder mehr Rechtssicherheit Einzug nehmen.