Das neue Privacy Shield: Datentransfer in die USA

In der Vergangenheit gab es nach der Safe-Harbour-Entscheidung und dem gescheiterten EU-US Privacy Shield einige rechtliche Probleme. Webseitenbetreiber und Unternehmer, die US-Tools und -dienste nutzten, übertrugen Daten ungesetzlich in die USA, was zu Bußgeldern und Abmahnungen führen konnte.

Nun gibt es allerdings eine positive Wendung: Die Europäische Kommission und US-Präsident Joe Biden haben sich auf einen neuen transatlantischen Datenschutzrahmen geeinigt, das EU-US Data Privacy Framework, welches am 10. Juli 2023 in Kraft getreten ist. Dank diesem neuen Rahmen ist die Verwendung von Tracking-, Analyse- und Marketing-Tools aus den USA wieder erlaubt, jedoch nur unter bestimmten Voraussetzungen.

Wir werden in diesem Text die jüngsten Entwicklungen auf diesem Gebiet beleuchten und Ihnen, als Webseitenbetreiber, aufzeigen, welche Schritte Sie nun unternehmen müssen, um US-Tools rechtlich abgesichert einzusetzen.

Die Europäische Union (EU) hat strenge Richtlinien für den Umgang mit persönlichen Daten ihrer Bürger. Der Hauptzweck dieser Regeln ist der Schutz der Privatsphäre, den Unternehmer strikt einhalten müssen. Wenn also ein Geschäftsinhaber Daten von Nutzern, die in der EU ansässig sind, an Länder außerhalb der EU sendet, muss er gewährleisten, dass dort ein Datenschutzniveau ähnlich dem der EU besteht.

Ist dies gegeben, kann der Datentransfer in ein sicheres Drittland wie der innerhalb der EU gehandhabt werden. Die Entscheidung, ob ein Land ein sicheres Drittland ist, trifft die Europäische Kommission mittels eines Angemessenheitsbeschlusses. Wird dieser angenommen, dürfen personenbezogene Daten aus dem Europäischen Wirtschaftsraum in dieses Drittland fließen, ohne dass weitere Bedingungen oder Genehmigungen nötig sind.

Beim Datenaustausch zwischen der EU und den USA gab es jedoch Zweifel an der Datenschutzqualität, die von der US-Regierung und ihren Geheimdiensten gewährleistet wird. Aus diesem Grund erklärte der Europäische Gerichtshof die bereits bestehenden Angemessenheitsbeschlüsse 2015 und 2020 für ungültig. Er urteilte, dass die Daten von EU-Bürgern nicht ausreichend vor den Überwachungsaktivitäten der USA geschützt waren.

Dies hatte zur Folge, dass die Nutzung von Diensten, die personenbezogene Daten von EU-Bürgern bei der Nutzung von Websites an Server in den USA senden, unzulässig wurde. Der Datenaustausch war somit nur unter umfangreichen zusätzlichen Schutzmaßnahmen möglich, und selbst dann war er rechtlich nicht eindeutig. Ein legaler Datenaustausch mit den USA war praktisch nicht mehr möglich.

Gemäß dem aktuellen Angemessenheitsbeschluss wird anerkannt, dass die USA ein Schutzniveau für persönliche Daten bieten, das dem der EU gleichwertig ist, wenn diese Daten von Unternehmen in der EU an Firmen in den USA übertragen werden. Dies gilt allerdings ausschließlich für die Unternehmen, die sich am EU-US-Datenschutzrahmen beteiligen.

Wie und wann beteiligen sich US-Unternehmen am neuen Datenschutzrahmen?

Für eine Anerkennung als sichere Instanz zum Empfang von Daten und die Einhaltung der Regeln des EU-US-Datenschutzrahmens muss ein US-Unternehmen ein Prozess der Selbstzertifizierung durch das US-Handelsministerium (Department of Commerce, DoC) durchlaufen. In diesem Verfahren muss das Unternehmen verschiedene Dokumente einreichen. Nach der erfolgreichen Einreichung dieser Unterlagen wird das Unternehmen in die Liste des „Data Privacy Frameworks“ (DPF) aufgenommen und gilt somit als selbstzertifiziert nach den Vorgaben des neuen Datenschutzrahmens.

Obwohl dieser Prozess auf den ersten Blick kompliziert wirken mag, soll er tatsächlich recht geradlinig sein. Besonders für Unternehmen, die bereits am ersten Privacy Shield teilgenommen haben, sollte der Übergang von den Bedingungen des Privacy Shield zum DPF relativ leicht sein. Diese Unternehmen sollten ihre Datenschutzhinweise an die neu eingeführten Anforderungen des DPF anpassen, und dies innerhalb von drei Monaten.

Sobald eine US-Organisation die Zertifizierung erhalten hat, muss sie diese Zertifizierung jährlich erneuern. Das US-Handelsministerium hat dazu erklärt, dass das Prozedere der Selbstzertifizierung und der jährlichen Erneuerung der Zertifizierung im Grunde gleich bleibt, um keine zusätzlichen Hindernisse zu schaffen.

Europäische Datenübermittler, die personenbezogene Daten gemäß dem Angemessenheitsbeschluss der Datenschutzbehörde aus der EU an die USA senden möchten, müssen im Vorfeld auf der Webseite der Datenschutzbehörde sicherstellen, dass der US-Datenempfänger eine Zertifizierung der Datenschutzbehörde besitzt und dass diese Zertifizierung den spezifischen Datentransfer abdeckt.

In Anlehnung an das vormalige „Privacy Shield“ soll eine Datenbank eingerichtet werden, in der US-Unternehmen aufgeführt sind, die eine Zertifizierung erlangt haben.

Dieser Datensatz kann auf der Webseite des Data Privacy Framework Programms unter dem Abschnitt „Data Privacy Framework List“ eingesehen werden.

Webseite: https://www.dataprivacyframework.gov/s/

DPF-Liste: https://www.dataprivacyframework.gov/s/participant-search

In dieser Datenbank können Betreiber von Webseiten in der Zukunft nach spezifischen Unternehmen suchen und verifizieren, dass eine gültige Selbstzertifizierung vorliegt.

Aktuell ist die Verwendung aller US-Dienste, die unter dem DPF zertifiziert sind, rechtlich abgesichert. US-Firmen müssen ein Selbstzertifizierungsverfahren absolvieren, um sich auf den Angemessenheitsbeschluss berufen zu können. Bei Unternehmen mit vielen EU-Nutzern oder Kunden, wie etwa Meta, Google, Microsoft, AWS, kann man davon ausgehen, dass diese die Zertifizierung vorhanden ist.

Wichtiger Hinweis:
Die Implementierung des DPF bedeutet nicht, dass für US-basierte Werkzeuge keine Zustimmung mehr über ein Cookie-Einverständniserklärungs-Tool erforderlich ist.

Für nahezu alle Tracking-Tools (z.B. Google Analytics, Meta Pixel, Hotjar usw.) benötigen Sie eine Zustimmung. Es ist irrelevant, ob das Tool aus den USA stammt oder nicht. Der Nutzer sollte die Möglichkeit haben zu entscheiden, ob er zulassen möchte, dass Tools wie Google Analytics Daten über ihn sammeln. Die Datenübermittlung in die USA ist ein gesondertes Problem.

Hier benötigt man angemessene Schutzmaßnahmen, um die Daten an ein Drittland weiterleiten zu können – die nun mit dem neuen DPF gegeben sind.

Das Einholen einer Zustimmung ist also weiterhin rechtlich erforderlich.