Praxisbericht zum EU-US Data Privacy Framework

Das EU-US Data Privacy Framework ist der neue Angemessenheitsbeschluss, auf den seit Juli letzten Jahres die Übermittlung von personenbezogenen Daten in die USA gestützt werden kann. Voraussetzung ist aber eine entsprechende Selbstzertifizierung der US-amerikanischen Unternehmen. Liegt eine solche Selbstzertifizierung nicht vor, bedarf es der Verwendung der EU-Standardvertragsklauseln.

Was heißt das für Sie als Unternehmen, welches z.B. Software, Hostingdienste, etc. von US-amerikanischen Unternehmen einsetzt und personenbezogene Daten dorthin übermittelt?

• Es muss überprüft werden, ob sich das jeweilige Unternehmen selbst zertifiziert hat – andernfalls drohen Bußgelder aufgrund von Datenschutzverletzungen, sofern in einem solchen Fall nicht die o.g. Standardvertragsklauseln verwendet worden sind

Wie lässt sich das überprüfen?

• Auf der Website https://www.dataprivacyframework.gov/list findet sich eine Übersicht aller Unternehmen, die sich im Rahmen des Frameworks zertifiziert haben.

Auf der Website lässt sich auch ablesen, ob sich das jeweilige Unternehmen nur für die Verarbeitung von HR Data zertifiziert hat oder aber für sämtliche personenbezogenen Daten. Nachdem HR Data nur die Beschäftigtendaten – und somit nur US-amerikanische Tochterunternehmen – im eigenen Konzern erfasst, müssen Sie als Unternehmen prüfen, ob das jeweilige US-amerikanische Unternehmen auch für Non-HR Data zertifiziert ist.

 Was ist darüber hinaus zu tun?

• Mit sehr hoher Wahrscheinlichkeit sind die Hinweise in Ihrer Datenschutzerklärung anzupassen. Sowohl hinsichtlich der Tatsache, dass Sie die Datenübermittlung an US-amerikanische Unternehmen auf das EU-US Data Privacy Framework stützen als auch, ob Sie dabei die Standardvertragsklauseln verwenden oder ob sich das jeweilige US-amerikanische Unternehmen selbst zertifiziert hat

Grundsätzlich müssen die eingesetzten Unternehmen auch regelmäßig auf deren Eignung hin überprüft werden.