Videokonferenzen, Live-Streams, Teilnehmermanagement, Ticketshops, Bezahlsysteme, Kollaborationstools… es gibt eine Reihe von Anwendungen, mit denen Veranstalter und Dienstleister fremde personenbezogene Daten verarbeiten und der Datenschutz eine Rolle spielt: Von Besuchern oder Teilnehmern, Ausstellern, Kunden, Vertragspartnern usw.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat nun Anwendungshinweise zur Übermittlung personenbezogener Daten aus Europa speziell in die USA veröffentlicht. Hintergrund ist der aktuelle Angemessenheitsbeschluss der EU-Kommission zum Datenschutzrahmen EU‐USA („EU‐US Data Privacy Framework“) vom 10.07.2023.

Die Anwendungshinweise richten sich u.a. an Unternehmen, die personenbezogene Daten verarbeiten oder verarbeiten lassen und dazu diese Daten ganz oder teilweise in die USA transferieren (oder transferieren lassen): Veranstalter, Gewerke, Arbeitgeber, aber auch Agenturen und Dienstleister, die für Ihren Auftraggeber fremde Daten verarbeiten.

Wichtig: Wer Daten außerhalb der EU transferiert, darf das nicht „einfach so“. Innerhalb der EU ist das unproblematisch, weil innerhalb der EU die DSGVO gleichermaßen gilt.

Wer aber bspw. die Teilnehmerliste seiner Veranstaltung oder den Chat seines Live-Streams mit den Namen der Teilnehmer an Anbieter außerhalb der EU transferiert, benötigt dazu eine Rechtsgrundlage. Damit soll gewährleistet werden, dass das Datenschutzniveau im Zielland mehr oder weniger ähnlich hoch zur DSGVO ist.

Der Datentransfer in die USA war lange Zeit hoch problematisch, nun gibt es seit Juli 2023 ein neues Regelwerk, in dem sich die USA zu einem zumindest scheinbar hohen Schutzniveau verpflichtet bzw. Maßnahmen hierzu schafft. Dieses Regelwerk ist eben der „EU‐US Data Privacy Framework“ und ist juristisch ein sog. Angemessenheitsbeschluss (d.h. es wird festgestellt, dass das Datenschutzniveau im Zielland ausreichend angemessen ist).

Wer Daten in ein solches Zielland schickt, über das ein Angemessenheitsbeschluss besteht, kann sich als Rechtsgrundlage eben auf diesen Angemessenheitsbeschluss berufen.

Wichtig: Der für den Datenschutz Verantwortliche muss regelmäßig die Aktualität des Beschlusses prüfen!

Eine aktuelle Liste der Angemessenheitsbeschlüsse sind auf der Website der Europäischen Kommission verfügbar: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_de

Nun zu den USA:

Wer Daten in die USA transferiert, kann dies auf 2 Wegen tun: Einmal über den besagten Angemessenheitsbeschluss, oder über sog. Standardvertragsklauseln.

Der leichtere Weg ist der Angemessenheitsbeschluss. Aber, ganz sooo einfach ist es auch nicht, denn: Der Verantwortliche muss prüfen, ob sein Datenimporteur tatsächlich zertifiziert ist. Das US-Handelsministerium veröffentlicht eine Liste der zertifizierten Datenimporteure. Diese Liste ist abrufbar unter https://www.dataprivacyframework.gov/s/

Wichtig: Nur Daten-Übermittlungen an dort aufgelistete US-Organisationen können auf den EU‐US Data Privacy Framework gestützt werden.

Das heißt, dass der Angemessenheitsbeschluss sich nicht pauschal auf alle Unternehmen innerhalb der USA erstreckt, sondern nur auf dort zertifizierte.

Was müssen Sie tun?

Datenexporteure müssen (vor dem Transfer) prüfen, ob

  1. Sie Daten in die USA transferieren,
  2. ihre geplanten Datenübermittlungen in den Anwendungsbereich des Beschlusses fallen,
  3. und der Datenempfänger in der Liste des US-Handelsministeriums steht,

und damit der Datenexport auf Grundlage dieses Angemessenheitsbeschlusses vorgenommen werden können.

Wichtig: Wenn die drei Fragen mit „ja“ beantwortet werden können, dann muss das auch entsprechend in den Datenschutzerklärungen erläutert werden.

Eine Besonderheit gibt es bei Daten von Beschäftigten: Werden diese im Beschäftigungskontext übermittelt, muss geprüft werden, ob die Zertifizierung der datenempfangenden Organisation sich tatsächlich auch auf diese Daten bezieht, da die allgemeine Zertifizierung diese nicht zwingend erfasst.

Daher müssen Exporteure von Beschäftigtendaten prüfen, ob der Eintrag des empfangenden Datenimporteurs in der oben bereits genannten Liste des US-Handelsministeriums in der Rubrik „Covered Data“ den Eintrag „HR Data“ enthält, siehe auch: https://www.dataprivacyframework.gov/s/participant‐search

Übermittlungen an US‐Empfänger, die nicht unter dem EU‐US Data Privacy Framework zertifiziert sind, können nicht auf den Angemessenheitsbeschluss der Europäischen Kommission vom 10.07.2023 gestützt werden. Dann muss ist eine andere Rechtsgrundlage gesucht werden, was bspw.  Standarddatenschutzklauseln der EU-Kommission sein könnten (darauf gehe ich hier aber nicht ein).

Handlungsempfehlungen:

  1. Prüfen Sie, ob Sie Tools, Software oder Hardware einsetzen, durch die personenbezogene Daten in die USA gelangen.
  2. Wenn ja, prüfen Sie, ob das datenempfangende Unternehmen in der Liste des US-Handelsministeriums steht.
    • Wenn ja, müssen Sie das in Ihrer Datenschutzerklärung entsprechend formulieren bzw. erläutern.
    • Prüfen Sie regelmäßig, ob/dass der Angemessenheitsbeschluss als solcher noch aktuell ist.
    • Prüfen Sie auch regelmäßig, ob/dass das datenempfangende US-Unternehmen noch zertifiziert ist, also noch in der Liste des US-Handelsministeriums genannt ist.
    • Wenn nein, prüfen Sie, ob Sie mit dem datenempfangenden Unternehmen die sog. Standardvertragsklauseln der EU-Kommission vereinbaren können und die darin genannten Regeln eingehalten werden.