Das neue EU-U.S. Data Privacy Framework – Was gilt nun?

Was ändert sich nun für verantwortliche kirchliche und diakonische Stellen bei der Übermittlung von personenbezogenen Daten auf Grundlage des neuen Angemessenheitsbeschlusses für die USA?

Am 10. Juli 2023 hat die Europäische Kommission mit dem EU-U.S. Data
Privacy Framework eine Nachfolgeregelung für den 2020 vom Europäischen Gerichtshof (EuGH) aufgehobenen Privacy Shield angenommen und in Kraft gesetzt.

Auf der Grundlage dieses neuen Angemessenheitsbeschlusses im Sinne von § 10 Abs. 1 Nr. 2 EKD-Datenschutzgesetz ist künftig ein Transfer personenbezogener Daten an alle Stellen in den USA möglich, wenn die im EU-U.S. Data Privacy Framework vorgesehenen Voraussetzungen erfüllt sind.

Wie bereits im aufgehobenen Privacy Shield Abkommen sieht das EU-U.S. Data Privacy Framework vor, dass die Empfänger der personenbezogenen Daten den hierfür erforderlichen Selbstzertifizierungsprozess durchlaufen müssen. Diese Selbstzertifizierung geschieht auf einer vom US-Handelsministerium betriebenen Internetseite für das Data Privacy Framework, auf der eine Liste der zertifizierten Unternehmen geführt wird. Die zwischenzeitlich vom US-Handelsministerium eingerichtete Webseite ist über den folgenden Link erreichbar: https://www.dataprivacyframework.gov/s/

Durch den neuen Angemessenheitsbeschluss entfällt die Pflicht zu Analyse der Rechtslage im Empfängerland (sog. Transfer Impact Assessment) und die Daten müssen nicht mehr durch ergänzende Maßnahmen, wie z.B. Verschlüsselung, in den USA vor staatlichem Zugriff besonders geschützt werden. Wer auf Nummer sicher gehen will, kann den Datentransfer weiterhin parallel auf der Grundlage der Standarddatenschutzklauseln der Europäischen Kommission vornehmen, für die weiterhin die Rechtslage im Empfängerland zu prüfen und ergänzende Maßnahmen ergriffen werden müssen, was unbedingt zu empfehlen ist.

Bei aller Freude über den neuen Angemessenheitsbeschluss dürfen verantwortliche Stelle nicht übersehen, dass das EU-U.S. Data Privacy Framework lediglich den Datentransfer einer rechtmäßigen Verarbeitung in die USA zulässig macht. Weiterhin dürfen kirchliche und diakonische Stellen als verantwortliche Stellen nur dann personenbezogene Daten verarbeiten, wenn die Verarbeitung Im Rahmen der Rechenschaftspflicht nachweisbar datenschutzkonform ist.

Eine Verarbeitung ist nur dann datenschutzkonform, wenn insbesondere für die Verarbeitung eine Rechtsgrundlage vorliegt und zum Schutz der personenbezogenen Daten geeignete technische und organisatorische Maßnahmen mit einem angemessenen Schutzniveau ergriffen wurden. Eine Hilfestellung für die Erfüllung der Anforderungen an die Rechenschaftspflicht bietet das nachfolgende Prüfschema. Der neue Angemessenheitsbeschluss wirkt sich auf die Prüfung unter Ziff. 3 Schritt 2 aus, indem das EU-U.S. Data Privacy Framework bei Vorliegen der Voraussetzungen als Übertragungsinstrumente angenommen werden kann.

      Prüfschema zur Erfüllung der Rechenschaftspflicht:

1.  Anwendbarkeit EKD-Datenschutzgesetz (DSG-EKD)

• • Anwendungsbereich gemäß § 2 DSG-EKD eröffnet
  • Verarbeitung personenbezogener Daten gemäß § 4 DSG-EKD

2. Nachweis und Dokumentationspflicht der Rechenschaftspflicht gemäß § 5 Abs. 2 DSG-EKD

               Einhaltung der Grundsätze der Verarbeitung gemäß § 5 Abs. 1 DSG-EKD

• • Rechtmäßigkeit (§ 6 bzw. § 49 DSG-EKD als Erlaubnistatbestand), Verhältnismäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

               Dokumentation und Nachweis der Grundsätze der Verarbeitung

• • Technische und organisatorische Maßnahmen, IT-Sicherheit gemäß § 27 DSG-EKD
  • Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen gemäß 28 DSG-EKD
  • Verzeichnis der Verarbeitungstätigkeit gemäß 31 DSG-EKD
  • Datenschutz-Folgenabschätzung gemäß § 34 DSG-EKD

3. Zulässigkeit der Übermittlung bzw. des Transfers an und in ein Drittland auf der Grundlage von § 10 DSG-EKD und Anwendung des sechs Punkteschemas der EDSA Guideline (entspricht einer DSFA)

• • Schritt 1: Kennen Sie Ihre Transfers?
  • Schritt 2: Identifizieren Sie die Übertragungsinstrumente, auf die Sie sich stützen.
  • Schritt 3: Beurteilen Sie, ob das Übertragungsinstrument, auf das Sie sich nach Artikel § 10 DSG-EKD stützen, unter Berücksichtigung aller Umstände des Transfers wirksam ist.
  • Schritt 4: Ergreifen Sie zusätzliche Maßnahmen.
  • Schritt 5: Ergreifen Sie alle formellen Verfahrensschritte, wenn Sie wirksame ergänzende Maßnahmen identifiziert haben.
  • Schritt 6: Bewerten Sie das Schutzniveau regelmäßig neu.

Es bleibt abzuwarten, ob dieser neue Angemessenheitsbeschluss der Europäischen Kommission eine stabile Rechtsgrundlage für den Transfer von personenbezogenen Daten in die USA darstellt oder ob in absehbarer Zeit auch dieser Angemessenheitsbeschluss vom EuGH geprüft und gegebenenfalls erneut verworfen wird.