Aktuelles aus dem Datenschutz

Zweifel an der Wirksamkeit des Data Privacy Framework (DPF)
Zweifel an der Wirksamkeit des Data Privacy Framework (DPF)

Veröffentlicht am

Wir informieren Sie über die aktuellen Entwicklungen des EU-U.S Data Privacy Framework und der damit einhergehenden datenschutzrechtlichen Problematik mit dem Übersenden von personenbezogenen Daten in die USA.

Sachverhalt

In einem Schreiben vom 8. Februar wies der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) des Europäischen Parlaments darauf hin, dass das Privacy and Civil Liberties Board (PCLOB), das im Rahmen des DPF von Präsident Biden eingerichtet wurde, aufgrund der jüngsten Entwicklungen unter der neuen Trump-Administration nicht mehr beschlussfähig ist. Mehrere Mitglieder wurden aus dem Gremium entfernt, sodass dieses nur noch aus einer Person besteht, was potenziell problematische Folgen haben könnte, da es somit nicht mehr beschlussfähig ist.

Wieso gibt es Zweifel an der Wirksamkeit des DPF?

Die PCLOB soll eine (relativ) unabhängige Instanz sein, die die Einhaltung der Vorgaben des Data Privacy Framework überwacht. Dieses Framework bildet in Form eines Angemessenheitsbeschlusses der Europäischen Kommission die Grundlage für den Datenaustausch mit den USA und die Einbeziehung von US-Dienstleistern in die Datenverarbeitung. Der Angemessenheitsbeschluss zum DPF gilt so lange, bis er von der Kommission zurückgenommen oder ausgesetzt oder vom Europäischen Gerichtshof (EuGH) aufgehoben wird. Soweit die USA von den im Rahmen des DPF vereinbarten Garantien abweichen, ist davon auszugehen, dass sich dies negativ auf das Datenschutzniveau in den USA auswirkt. Das Privacy and Civil Liberties Board muss u.a. die Anforderungen des Art. 47 der EU-Grundrechtecharta erfüllen. Wenn das Board nur noch mit einer Person besetzt ist und die übrigen Mitglieder von der Exekutive ohne sachlich nachvollziehbare Gründe abberufen werden können, weckt dies berechtigte Zweifel an der Angemessenheit.

Wie lange könnte es dauern, bis der Beschluss nicht mehr gültig ist?

Es ist schwer vorherzusagen, wie lange der Beschluss noch gültig sein wird. Es wird vor allem darauf ankommen, wie schnell die Kommission jetzt handelt und ob noch Änderungen bei der Besetzung des Boards für die USA denkbar sind. Relevant ist auch, ob das Privacy and Civil Liberties Board nach dem Willen der US-Regierung langfristig nur noch mit einer Person besetzt sein oder gar nicht mehr existieren soll.  Daher ist es von großer Bedeutung, die weiteren Entwicklungen sorgfältig zu beobachten, um mögliche Auswirkungen auf den Datenschutz zu minimieren.

Risiken für Unternehmensgeheimnisse

US-Unternehmen sehen sich gesetzlichen Verpflichtungen ausgesetzt, die ihnen ermöglichen oder sie verpflichten, Daten an US-Behörden oder private US-Unternehmen weiterzugeben (z. B. CLOUD Act, FISA 702). Dies kann zu einer unkontrollierten Offenlegung von personenbezogenen Daten führen, was sowohl rechtliche als auch finanzielle Risiken für Ihr Unternehmen birgt.

Neben dem Schutz personenbezogener Daten müssen Sie auch die Sicherheit Ihrer sensiblen Unternehmensdaten berücksichtigen. Das Risiko besteht insbesondere darin, dass personenbezogene Daten, geistiges Eigentum wie Rezepturen, Konstruktionspläne oder Entwicklungsstrategien beabsichtigt oder unbeabsichtigt Dritten zugänglich gemacht werden.

Ein gezielter wirtschaftlicher Zugriff oder gar ein Industriespionage-Risiko kann nicht ausgeschlossen werden, wenn solche Daten in US-Cloud-Umgebungen verarbeitet oder über US-Unternehmen übertragen werden. Selbst wenn Verschlüsselungstechnologien eingesetzt werden, können diese durch rechtliche oder technische Hintertüren umgangen werden.

Welche Folgen hat das für Sie als Unternehmen?

Sollte der Angemessenheitsbeschluss von der Kommission widerrufen oder ausgesetzt werden, würde dies für Ihr Unternehmen bedeuten, dass Sie sich bei Datenübermittlungen aus der EU in die USA nicht mehr auf den DPF als Übermittlungsgrundlage berufen können. In der Folge würde vorerst jede Übermittlung in die USA einen Verstoß gegen die DSGVO darstellen.

Was ist für Sie als Unternehmen zu tun?

Notwendigkeit der kontinuierlichen Risikobewertung

Die aktuelle Rechtslage ist dynamisch und kann sich jederzeit ändern. Daher sollten Sie die Risiken des Datentransfers regelmäßig überprüfen und neu bewerten. Wir empfehlen Ihnen, sich frühzeitig einen Überblick zu verschaffen, welche US-Anbieter Sie wofür nutzen.

Es empfiehlt sich, ein Data-Mapping durchzuführen, um Transparenz über alle Datenflüsse zu erhalten.

 

Empfehlung und nächste Schritte

Wir empfehlen Ihnen:

  1. Eine detaillierte Bestandsaufnahme aller Datenübertragungen in die USA oder über US-Anbieter.
  2. Die Identifikation und Evaluierung alternativer Anbieter innerhalb der EU oder anderer sicherer Drittstaaten. Eine Übersicht über mögliche europäische Alternativen zu US-Dienstleistungen finden Sie z.B. unter https://european-alternatives.eu/de
  3. Die Entwicklung einer Exit-Strategie für den Fall eines regulatorischen Wechsels oder einer Eskalation der rechtlichen Risiken.
  4. Die Sensibilisierung aller relevanten Abteilungen im Unternehmen für die datenschutzrechtlichen und sicherheitstechnischen Risiken.
  5. Die Prüfung, inwieweit eine vollständige Abkehr von US-Dienstleistern möglich und wirtschaftlich vertretbar ist.

 

Sollten Sie keine Alternativen finden, empfehlen wir Ihnen, sich mit Ihrem Datenschutzbeauftragten in Verbindung zu setzen, um weitere Möglichkeiten zu erarbeiten.

Sollten Sie diesbezüglich noch weitergehende Fragen haben, können Sie sich gerne an Ihren Datenschutzbeauftragten oder Informationssicherheitsbeauftragten wenden.

Mehr
Aktuelles

SK-Consulting Group GmbH

Osterweg 2, 32549 Bad Oeynhausen

E-Mail

info@sk-consulting.com

Telefon

05731/49064-30

Die SK-Consulting Group GmbH aus Bad Oeynhausen bietet Unternehmen bundesweit seit 2008 Lösungen und individuelle Dienstleistungen in den Bereichen Datenschutz und IT-Sicherheit.  

Leistungen Datenschutz
Leistungen IT-Sicherheit