Am 10. Juli 2023 hat die Europäische Kommission den lang erwarteten
Angemessenheitsbeschluss für das Trans-Atlantic Data Privacy Framework zwischen der EU und den USA („TADPF“) erlassen. Für Unternehmen bedeutet dies, dass sich die Thematik „US-Datentransfers“ nun etwas entspannen dürfte – doch was müssen sie nun genau tun?
In diesem Beitrag möchten wir Ihnen einige Informationen und weiterführende Hinweise an die Hand geben, um sich dem Thema „TADPF“ anzunähern. Hierbei beleuchten wir insbesondere das Erfordernis der Angabe eines sogenannten „Independent Recourse Mechanism“.
Welche Vorteile haben Unternehmen mit dem neuen Angemessenheitsbeschluss?
Nach dem Fall des „Privacy Shield“ durch das „Schrems II“-Urteil des Europäischen Gerichtshofs im Jahr 2020 mussten europäische Unternehmen andere Maßnahmen aus dem Katalog der DSGVO anwenden, um einen rechtskonformen Transfer von personenbezogenen Daten zu Dienstleistern in den USA durchführen zu können. Insbesondere die Standardvertragsklauseln („SCCs“) zusammen mit zusätzlichen Sicherheitsmaßnahmen waren in dieser Situation das Mittel der Wahl. Ihr Abschluss mit dem US-Dienstleister sorgte jedoch für erheblichen Mehraufwand, insbesondere in Form der verpflichtenen Durchführung eines „Transfer Impact Assessments“ („TIA“). Zudem befanden Datenschutzbehörden und Gerichte in einigen Fällen weiterhin, dass trotz implementierter SCCs und Sicherheitsmaßnahmen die Datentransfers gegen die DSGVO verstießen. Ein Beispiel ist etwa das Verfahren der schwedischen Datenschutzaufsichtsbehörde IMY gegen mehrere Unternehmen wegen des Einsatzes von Google Analytics, über das wir ebenfalls vor kurzem berichteten.
Europäische Unternehmen haben nun die Möglichkeit, sich beim Transfer personenbezogener Daten an US-Unternehmen auf den neuen Angemessenheitsbeschluss zu berufen, wenn diese nach dem TADPF zertifiziert sind. SCCs (und damit auch TIAs) sind für diese Datentransfers dann nicht mehr zwingend erforderlich. Hiermit wird die unternehmenseigene Datenschutz-Compliance erheblich vereinfacht.
Wir sind ein europäisches Unternehmen. Was müssen wir nun tun?
Als europäisches Unternehmen, also mit einem ausschließlichem Sitz in Europa, können Sie sich selbst nicht nach dem TADPF zertifizieren – Sie müssen dies auch nicht; die Zertifizierung ist nur für US-Unternehmen vorgesehen.
Es bietet sich jedoch an, dass Sie Ihrerseits auf Ihre US-Dienstleister zugehen und diese darum bitten, sich beim TADPF zu zertifizieren, sofern dies bisher nicht erfolgt ist. Erst wenn alle Ihre US-Dienstleister und Partner dort registriert sind, ist sichergestellt, dass die jeweiligen Datentransfers in die USA über den Angemessenheitsbeschluss abgedeckt sind. Anderenfalls sind jeweils weiterhin Maßnahmen wie SCCs mit weiteren Sicherheitsmaßnahmen erforderlich, um die Datentransfers durchführen zu können.
Wir sind ein amerikanisches Unternehmen. Was müssen wir nun tun?
Als US-Unternehmen ist eine Zertifizierung nach dem TADPF nicht verpflichtend, aber von Vorteil, da viele europäische Unternehmen bei ihren US-Dienstleistern und Partnern auf eine Zertifizierung bestehen werden, um von der vereinfachten Compliance-Struktur für Datentransfers in die USA profitieren zu können. Mit einer Zertifizierung können US-Unternehmen dieser Anforderung begegnen und in der Folge auf eine stärkere europäische Nachfrage ihrer Dienstleistungen hoffen.
Die Erlangung der Zertifizierung ist tatsächlich nicht schwer: Zunächst ist eine Registrierung auf der offiziellen Website des TADPF erforderlich. Mit Anlegen eines Unternehmenskontos kann der Antrag auf Zertifizierung einfach online gestellt werden. Hierfür müssen Unternehmen die Antragsmaske mit den erforderlichen Informationen ausfüllen und den Antrag dann einreichen.
Weitere Informationen zum TADPF und dem Zertifizierungsprozess finden sich im TADPF-Informationsbereich. Dort ist auch ein zweiteiliger Guide veröffentlicht, der Schritt-für-Schritt die erforderlichen Maßnahmen erläutert, um dem TADPF beizutreten. Um den Zertifizierungsantrag zu beschleunigen, können im Vorfeld die Informationen aus dieser Liste zusammengetragen werden.
Was ist der „Independent Recourse Mechanism“?
Im Rahmen der Antragsstellung ist die Angabe eines „Independent Recourse Mechanism“ (deutsch: Unabhängiger Beschwerde-Mechanismus“) erforderlich, dem sich das US-Unternehmen gewissermaßen unterwerfen muss. Dies ist erforderlich, damit Betroffene aus Europa in den USA eine Anlaufstelle haben, an die sie sich wenden können, wenn Sie zum Beispiel vom Unternehmen keine Auskunft über die Verarbeitung ihrer Daten erhalten haben. Hintergrund ist, dass Betroffene anderenfalls keine Möglichkeit haben, vor einem amerikanischen Gericht ihre Betroffenenrechte einzuklagen – einer der Gründe, warum das Privacy Shield 2020 für unwirksam erklärt wurde.
Verantwortliche können – sofern es sich bei den zu transferierenden Daten nicht um Personaldaten handelt – zwischen der Angabe eines sogenannten „Dispute Resolution Body“ („DRB“; deutsch: Einrichtungen zur Streitbeilegung) oder den (jeweils zuständigen) europäischen Datenschutzbehörden wählen.
Welche Optionen gibt es hier?
Eine Liste der (bislang) verfügbaren DRBs wird im Antragsprozess angezeigt – allerdings ohne weiterführende Hinweise zu den einzelnen Anbietern. Um Ihnen die Suche zu erleichtern, haben wir im Folgenden die verfügbaren DRBs aufgelistet.
Sie können zwischen 9 verschiedenen privaten Anbietern wählen, die als „Independent Recourse Mechanism“ im Zertifizierungsantrag angegeben werden können – sofern Sie sich wie erwähnt gegen die Alternative entscheiden, entsprechende Verfahren über die europäischen Datenschutzbehörden abwickeln zu lassen:
1. Insights Association DPF Services Program
2. PrivacyTrust DPF Services
3. BBB National Programs DPF Services
4. ANA DPF Dispute Resolution
5. ICDR-AAA DPF IRM Service
6. JAMS
7. TRUSTe Dispute Resolution (jetzt: TrustArc)
8. VeraSafe DPF Dispute Resolution Program
9. Privacy Dispute Resolution Services (PDRS)
Mit unserer langjährigen Erfahrung in der Beratung von US-Unternehmen zu sämtlichen DSGVO-Themen unterstützen wir Sie gern bei der Zertifizierung Ihres Unternehmens nach dem TADPF. Kommen Sie jederzeit gern auf uns zu.
(Dr. Lukas Mezger, UNVERZAGT Rechtsanwälte)