Projekt Beschreibung

Häufig gestellte Fragen zum EU-US Data Privacy Framework (DPF)

Das EU-US Data Privacy Framework (DPF) ist ein Selbstzertifizierungsregelwerk für US-amerikanische Firmen. Teilnehmende Firmen verpflichten sich zur Einhaltung von Datenschutzregeln bei der Verarbeitung personenbezogener Daten und unterwerfen sich bestimmten US-amerikanischen Beschwerde- und Aufsichtsverfahren. Diese prinzipiell auch allen betroffenen Nicht-US-Bürgern offenstehenden Verfahren sind der eigentliche Unterschied zum 2016 eingerichteten „Privacy Shield“, einem ähnlich konstruierten Selbstzertifizierungsverfahren, welches in 2020 durch den Europäischen Gerichtshof für ungültig erklärt wurde.

Die EU-Kommission hat am 10.07.2023 einen Angemessenheitsbeschluss i.S.d. § 10 Abs. Nr. 1 DSG-EKD gefasst, nach dem das Datenschutzniveau bei Firmen, die sich dem DPF anschließen, als dem EU-weiten Schutzniveau gleichwertig eingestuft wird. Damit entfällt bei Datenübermittlung zu diesen Firmen die Notwendigkeit, andere Sicherungsmaßnahmen wie z.B. Verbindliche Unternehmensregeln (Binding Corporate Rules – BCR) oder den Rückgriff auf die Standarddatenschutzklauseln (SCC) der EU zu implementieren.

Keinesfalls ersetzt die Selbstzertifizierung nach DPF alle anderen datenschutzrechtlichen Voraussetzungen für die Verarbeitung und Übertragung personenbezogener Daten, insbesondere nicht die Notwendigkeit einer Rechtsgrundlage für die Verarbeitung.

Nur solche Firmen, die in den USA der Aufsicht der US Federal Trade Commission (FTC) oder des US Department of Transportation (DoT) unterstehen, können sich am DPF beteiligen. Damit sind z.B. Non-Profit-Organisationen, Banken, Versicherungen und Telekommunikations-Provider von einer DPF-Selbstzertifizierung ausgeschlossen. Für den Transfer von personenbezogenen Daten zu solchen Firmen oder Organisationen ist deshalb immer eine andere Sicherungsmaßnahme zu ergreifen.

Zunächst muss die verantwortliche Stelle überprüfen, ob die Selbstzertifizierung des Datenempfängers tatsächlich mit gültigem Status in der DPF-Liste eingetragen ist und ob das Zertifikat für die passende Datenkategorie (allgemeine personenbezogene Daten – Non-HR Data oder Beschäftigtendaten – HR Data) gilt. Zertifizierungen sind in der Gültigkeit zeitlich beschränkt und müssen vor Ablauf erneuert werden.

Durch die DPF-Zertifizierung ist aktuell die Anforderung des § 10 Abs. 1 Nr. 1 DSG-EKD erfüllt, nicht jedoch die weiteren datenschutzrechtlichen Anforderungen. Diese müssen – wie in jedem anderen Fall einer Offenlegung von personenbezogenen Daten – durch die verantwortliche Stelle separat geprüft und erfüllt werden.

Bei einer Datenübermittlung an eine Firma, deren Muttergesellschaft ein DPF-Zertifikat besitzt, ist die im DPF-Register hinterlegte Liste von dem Zertifikat angeschlossenen Tochtergesellschaften zu prüfen. Auch hier wird nach Non-HR-Daten und HR-Daten differenziert.

Die Übermittlung personenbezogener Daten kann nur unter den auch innerhalb der EU geltenden Voraussetzungen und Grundsätzen aus § 5 DSG-EKD  erfolgen. Neben der Rechtmäßigkeit, Zweckbindung und Richtigkeit ist besonders das Transparenzgebot zu beachten, was in diesem Fall einschließt, die Betroffenen über den Datentransfer in die USA, den dortigen Empfänger und dessen Zertifizierung nach DPF zu informieren

Auch für die Beauftragung von DPF-zertifizierten Auftragsverarbeitern gelten weiterhin die allgemeinen Anforderungen. Demnach sind mit dem Auftragsverarbeiter in einem Vertrag nach § 30 DSG-EKD bestimmte Punkte zu regeln, insbesondere

  • die Verpflichtung des Auftragsverarbeiters, die Daten nur nach expliziter Weisung der verantwortlichen Stelle zu verarbeiten,
  • das Personal auf Verschwiegenheit zu verpflichten,
  • angemessene technische und organisatorische Schutzmaßnahmen zu implementieren,
  • bei Beendigung der Dienstleistung alle Daten zu löschen oder zurückzugeben.

Der Auftragsverarbeiter hat die Pflicht, bei der Eingehung von Unterauftragsverhältnissen nur solche zu wählen, die ebenfalls den Kriterien der verantwortlichen Stelle entsprechen (insbesondere auch DPF-zertifiziert sind) und alle Pflichten aus dem Vertrag zur Auftragsverarbeitung auf das Unterauftragsverhältnis entsprechend anzuwenden.

Weiterhin müssen Auftragsverarbeiter und ihre Unterauftragsverhältnisse alle Audits, Prüfungen etc. durch die verantwortliche Stelle oder deren Aufsichtsbehörde nach besten Kräften unterstützen.

Weitere Informationen, u.a. auch die Liste der gültigen DPF-Zertifikate, können auf https://www.dataprivacyframework.gov eingesehen werden. Die DPF-Zertifizierung unterscheidet zwischen der Verarbeitung von Beschäftigtendaten (HR Data) und allgemeinen personenbezogenen Daten (Non-HR Data). Dementsprechend sind die Einträge der Firmen gekennzeichnet.

Bildquellen