US Datentransfer – Lebt der EU-US Privacy Shield (Datenschutzschild) einfach wieder auf oder wie sind die neuen US-Regeln?

Viele Unternehmen warten mit Spannung auf den Angemessenheitsbeschluss der EU-Kommission (KOM) zum EU-US Data Privacy Framework (DPF). Aber wie geht es dann weiter? Schon jetzt findet man auf der Privacy Shield Liste eine Menge von US-Unternehmen, die weiter registriert sind und ihre Registrierung wegen Schrems II für die EU nicht weiter haben nutzen können.

Was fest steht: Mit dem Beschluss werden nicht alle Probleme per Zauberstab der KOM gelöst. Sicher ist, dass damit nicht plötzlich über Nacht alle Datentransfers in die USA unproblematisch werden. Die Chancen einer einstweiligen Verfügung von Schrems u.a. gegen den Beschluss in der EU werden u.a. wegen Art. 267 AEUV als gering eingestuft. Beim durch Schrems II gestoppten Privacy Shield Framework hat es satte vier Jahre bis zu einer endgültigen Entscheidung des EuGH gedauert.

Deshalb es gibt Sommer-Hausaufgaben für alle diejenigen, die sich auf das DPF und den Privacy Shield stützen wollen:

Hier eine Übersicht aus den FAQ des US Department of Commerce, die noch aktualisiert werden könnten:

• „Das Datum des Inkrafttretens der EU-U.S. DPF-Prinzipien ist das Datum des Inkrafttretens der Angemessenheitsentscheidung der Europäischen Kommission für dieselben.“
• „Die Grundsätze des EU-US-Datenschutzschilds werden im Rahmen der EU-US-DPF als "EU-US-Datenschutzrahmengrundsätze" geändert. (US-) Organisationen, die sich selbst zur Einhaltung der EU-U.S. Privacy Shield Framework Principles verpflichtet haben und in den Genuss der Vorteile der Teilnahme am EU-U.S. DPF kommen möchten, müssen die EU-U.S. DPF Prinzipien einhalten, sobald diese in Kraft treten. Dazu gehört, dass sie ihre Datenschutzrichtlinien unter anderem dahingehend aktualisieren, dass sie stattdessen auf ihre Verpflichtung zur Einhaltung der "EU-U.S. Data Privacy Framework Principles" verweisen. Diese Organisationen müssen diesen Verweis innerhalb von drei Monaten nach dem Inkrafttreten der EU-U.S.-DPF-Prinzipien aufnehmen (d.h. so bald wie möglich nach dem Inkrafttreten der EU-U.S.-DPF Prinzipien, aber nicht später als drei Monate nach diesem Inkrafttreten)."
• „Organisationen, die ihre Verpflichtung zur Einhaltung der Grundsätze des EU-US-Datenschutzschildes selbst zertifiziert haben, aber nicht in den Genuss der Vorteile der Teilnahme an der EU-US-DSGVO kommen möchten, müssen das […] Widerrufsverfahren durchlaufen.“
• „Organisationen, die eine erste Selbstzertifizierung nach dem Datum des Inkrafttretens des DPF vornehmen, müssen die Grundsätze des EU-US-Privacy Shields bei der Selbstzertifizierung einhalten.“

Konsequenz: Für diejenigen, die schon registriert sind und schnell in den Genuss des DPF kommen wollen, empfiehlt sich schon jetzt eine Durchsicht und Anpassung der eingereichten Datenschutzrichtlinien. Alle, die sich neu registrieren wollen, sollten alsbald an ihrer Selbstzertifizierung arbeiten (ausf. Spies in vdBussche/Voigt, Konzerndatenschutz Teil 4 Kapitel 4 B V). Erfahrungsgemäß ist die Selbstzertifizierung arbeitsintensiv und könnte zu einem Vorlagestau beim Department of Commerce führen.

Vorsicht Updates: US Handelsministerin Raimondi hatte schon am 07.10.2022 angekündigt: „Nach dem Erlass der Exekutivanordnung werde ich EU-Justizkommissar Reynders eine Reihe von Schreiben der zuständigen US-Behörden und Dokumente übermitteln, in denen die Funktionsweise und Durchsetzung der DPF zwischen der EU und den USA dargelegt wird.“ Auf diese Schreiben wird die KOM wohl Bezug nehmen, woraus sich weitere Schritte zur Compliance ergeben können.

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben