Das EU-US Data Privacy Framework ODER „Kann ich GA jetzt legal einsetzen?“

In diesem Blogpost lernt ihr:

• Was ist ein Angemessenheitsbeschluss und was bedeutet er für internationale Datentransfers in die USA?
• Was sind die neusten Entwicklungen?
• Was ist der Impact für meine Data Strategy und den Einsatz von US-basierten Tools?
• Wie könnte es weiter gehen?

 

Das Wichtigste in Kürze:

• Die Europäische Kommission hat den Angemessenheitsbeschluss für den EU-US Data Privacy Framework (DPF) angenommen.
• Damit bescheinigt die Kommission DPF-zertifizierten Unternehmen in den USA ein mit der EU vergleichbares Datenschutzniveau.
• Personenbezogene Daten können nun an solche Unternehmen übermittelt werden, ohne dass hierfür zusätzliche Schutzmaßnahmen getroffen werden müssen.
• Es wird für die meisten US-Anbieter (wie beispielsweise Google oder Meta) vermutlich noch einige Wochen oder Monate dauern, bis sie die Anforderungen des DPF umgesetzt haben.
• Es ist nicht sicher, dass der Angemessenheitsbeschluss die Datentransferproblematik auf Dauer lösen wird. Max Schrems‘ Datenschutzorganisation NOYB plant bereits den neuen DPF vor Gericht zu bringen.

 

Am 10. Juli 2023 veröffentlichte die Europäische Kommission eine Pressemitteilung auf ihrer Website zum neuen Angemessenheitsbeschluss für den EU-US Data Privacy Framework, die die Aufmerksamkeit aller Web-Analysten auf sich zog. Die häufigsten Fragen waren: Kann ich Google Analytics jetzt legal verwenden? Und wie sieht es mit all den anderen US-Tools aus, die wir gerne auf Websites nutzen?

Im Interview beantwortet unser FELD M Privacy Experte Stefan Riegler die vier wichtigsten Fragen:

 

Die Europäische Kommission hat den Angemessenheitsbeschluss für den EU-US Data Privacy Framework (DPF) angenommen. Kannst du kurz erklären, was das ist?

„Ein Angemessenheitsbeschluss ist eines der Instrumente, welche die DSGVO für rechtmäßige Übermittlungen von personenbezogenen Daten in Drittstaaten zur Verfügung stellt. Ein Angemessenheitsbeschluss zeigt an, dass ein Drittstaat ein Datenschutzniveau besitzt, welches mit dem in der EU vergleichbar ist.

Seit der Ungültigerklärung des Privacy Shield durch den Europäischen Gerichtshof (EuGH) in seinem Schrems II Urteil hatten die USA ein solches Niveau offiziell nicht mehr. Mit der Annahme des neuen Angemessenheitsbeschluss erklärt die Kommission nun, dass US Unternehmen, welche unter dem DPF zertifiziert sind, ein angemessenes Datenschutzniveau vorweisen.

Der Beschluss kann nun als rechtliche Grundlage für Datenübermittlungen an derartige Unternehmen genutzt werden, ohne dass hierbei zusätzliche Datenschutzgarantien getroffen werden müssen.“

 

Wann treten die neuen Regelungen in Kraft?

„Der Angemessenheitsbeschluss und das Data Privacy Framework sind bereits in Kraft.

Um personenbezogene Daten rechtmäßig an ein US-Unternehmen exportieren zu dürfen, muss besagtes Unternehmen unter dem DPF zertifiziert sein. Ich vermute viele US Anbieter (wie beispielsweise Google oder Meta) werden noch einige Wochen oder Monate brauchen, um sich an den DPF anzupassen, sich bei Bedarf zertifizieren zu lassen und ihre Datenschutzerklärungen anzupassen.”

 

Heißt das ich kann Google Analytics jetzt legal nutzen?

„Zunächst einmal zur Frage, wo bisher das Problem mit Google Analytics lag: In Folge des Schrems II Urteils und der Ungültigerklärung des Privacy Shield mussten exportierende Unternehmen ihre Datentransfers auf eine andere Rechtsgrundlage stützen – in der Regel auf Standardvertragsklauseln (SCCs). SCCs alleine reichen jedoch nicht aus, um ein angemessenes Datenschutzniveau zu sichern, weshalb die beteiligten Unternehmen zusätzliche Datenschutzmaßnahmen treffen mussten, um ein EU-vergleichbares Datenschutzniveau zu gewährleisten.

In den vergangenen Jahren erklärten diverse europäische Datenschutzaufsichtsbehörden, dass Googles zusätzliche Maßnahmen in diesem Zusammenhang nicht ausreichten, und belegten in Folge Unternehmen, welche über die Nutzung von Google Analytics Daten in die USA exportieren, mit Bußgeldern und Strafen.

Mit dem neuen Angemessenheitsbeschluss können exportierende EU-Unternehmen ihre Transfers an zertifizierte US-Unternehmen rechtlich nun darauf stützen anstatt auf Standardvertragsklauseln.

Kommen wir zum “Jetzt” in deiner initialen Frage: Unserem Verständnis des Beschlusses nach, dürfen US Organisationen Daten empfangen, sobald sie auf einer Liste des US Department of Commerce stehen. Organisationen wie Google, welche bereits unter dem früheren Privacy Shield zertifiziert waren, sollen ihren alten Mitgliedsstatus “erben”. Sie müssen jedoch innerhalb einer dreimonatigen Frist ihre Datenschutzerklärungen entsprechend anpassen.

Google wird tatsächlich bereits auf der Liste des Department of Commerce als aktiver Teilnehmer gelistet. Nach heutigem Stand (27.07.2023) erklärt Googles Informationsseite jedoch zu Datentransfers noch, dass man sich nicht mehr auf den Privacy Shield stütze. Diese Seite wurde im Februar 2022 zuletzt aktualisiert.

Wenn man als Unternehmen also Google Analytics nutzen will, sollte man ein Auge auf Googles Datenschutzerklärungen haben und auf deren Aktualisierung warten. Gegebenenfalls macht es auch bereits Sinn, einen Termin mit seinem Datenschutzbeauftragten oder Rechtsberatern zu vereinbaren, um mit ihnen zu erörtern, was der Angemessenheitsbeschluss für die eigene unternehmensspezifische Situation bedeutet und welche nächsten Schritte man gegebenenfalls gehen will oder könnte.„

 

Tipp: Lade unsere Checkliste zum EU-US Data Privacy Framework für in der EU ansässige Unternehmen herunter, um herauszufinden, was als nächstes zu tun ist.

 

Können wir uns sicher sein, dass dieses neue Abkommen länger Bestand haben wird als sein Vorgänger?

„Das ist eine schwierige Frage. Einerseits betont die Europäische Kommission in ihrer Außenkommunikation, dass die USA „beispiellose Zusagen“ für den DPF gemacht haben.

So sollen mit dem neuen Deal US-Nachrichtendienste beispielsweise nur noch auf EU-Daten zugreifen, wenn dies notwendig und verhältnismäßig ist, um nationale Sicherheitsinteressen zu verfolgen. Außerdem wurde ein Rechtsbehelfsverfahren eingeführt, wodurch Betroffene rechtswidrige Überwachungspraktiken anfechten können sollen.

Es ist jedoch fraglich, ob die seitens der USA ergriffenen Maßnahmen tatsächlich ausreichen, um jene Bedenken des EuGH auszuräumen, welche ihn zu seinem Schrems II Urteil vor drei Jahren führten.

Datenschutzorganisationen bereiten sich jedenfalls schon darauf vor, den neuen Angemessenheitsbeschluss wieder vor Gericht zu bringen. Die von Max Schrems gegründete Datenschutzorganisation NOYB hat bereits angekündigt, dass sie verschiedene Optionen vorbereitet hat, um das Abkommen wieder vor den EuGH zu bringen.

Ihnen zufolge könnte eine Anfechtung des Abkommens den EuGH Ende 2023 oder Anfang 2024 erreichen. Ferner könne der EuGH ihrer Ansicht nach dann sogar den DPF für die Dauer des Verfahrens aussetzen. Eine endgültige Entscheidung erwarten sie für 2024 oder 2025.

Also nein, für den Moment würde ich nicht meine komplette Datenstrategie und Datenschutzstrategie auf der Annahme bauen, dass der Bestand des Data Privacy Framework in Stein gemeißelt ist.“

 

So geht es weiter

Die vorherrschende Stimmung in Bezug auf Datenschutz und Consent ist für viele von Unsicherheit geprägt. Neue politische Initiativen, Gerichtsurteile sowie Behördenbescheide und -standpunkte erschweren den Durchblick. Viele Websites und Apps befinden sich in einer rechtlichen Grauzone – entweder weil die Betreiber sich schlicht unsicher sind, wie sie das Thema Consent angehen sollen oder schlimmer, weil sie aktiv Consent Management Richtlinien missachten und auf manipulative Designs setzen.

Umso wichtiger ist es in der heutigen Zeit einen verlässlichen Partner an seiner Seite zu haben, der seinen Finger am Puls aktueller rechtlicher Diskussionen hat sowie Erfahrung mit pragmatischen Best-Practices – einen Partner, der Sie bei der Entwicklung innovativer technischer Lösungen unterstützt und Ihnen einen rechtlichen Vorteil gegenüber Ihren Wettbewerbern sichert. FELD M kann dieser Partner für Sie sein. Falls Sie sich unsicher sind, ob Ihre Organisation vollständig rechtskonform aufgestellt ist, können wir Sie gerne zu Themen rund um Consent und Privacy beraten.

 

* Haftungsausschluss: Wir möchten darauf hinweisen, dass die Informationen, die wir in diesem Blogbeitrag zum neuen Angemessenheitsbeschluss der Europäischen Kommission bereitstellen, lediglich allgemeiner Natur sind und nicht als Rechtsberatung angesehen werden können.
Dieser Blogbeitrag dient lediglich dazu, allgemeine Informationen zu vermitteln und soll keine individuelle Beratung durch Anwälte oder Datenschutzbeauftragte ersetzen. Es liegt in der Verantwortung der Leser:innen, sich bei rechtlichen Fragen oder Unsicherheiten zu ihrer spezifischen Situation an qualifizierte Rechtsberater:innen oder ihre:n Datenschutzbeauftragte:n zu wenden, um eine fundierte rechtliche Bewertung und Beratung zu erhalten.

Wir übernehmen keine Haftung für etwaige Verluste, Schäden oder rechtliche Konsequenzen, die aus der Verwendung oder Interpretation der in unserem Blogbeitrag bereitgestellten Informationen resultieren. Die Verwendung der Informationen erfolgt auf eigenes Risiko.

 

Weiterführende Informationen zum Angemessenheitsbeschluss finden Sie hier:

• Pressemitteilung der Europäischen Kommission
• Kurzmeldung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
• Googles Informationsseite zu Datenübermittlungen
• Seite des US Department of Commerce zum DPF
• Googles Eintrag in der DPF-Liste
• Statement von NOYB zum neuen Angemessenheitsbeschluss