Mit Inkrafttreten des Angemessenheitsbeschlusses zum Datenschutzrahmen EU-U.S. Data Privacy Framework (EU-US DPF) haben sich große Veränderungen in Sachen Datenschutz ergeben. So hat der Beschluss auch Auswirkungen auf den transatlantischen Datenaustausch und wirft Fragen auf. Diesen widmet sich die Deutschsprachige SAP-Anwendergruppe e. V. (DSAG) mit dem folgenden Q&A. Im Ergebnis hat dieser Beschluss keine Auswirkung auf die Cloud-Strategie der öffentlichen Arbeitgeber/Dienstherren.
Was ist der Angemessenheitsbeschluss zum Datenschutzrahmen EU-U.S. Data Privacy Framework (EU-US DPF)?
Gemäß Art. 45 Abs. 1, 3 DSGVO kann die Europäische Kommission im Wege eines Durchführungsrechtsakts beschließen, dass ein Drittland ein „angemessenes Schutzniveau“ i. S. v. Art. 45 Abs. 2 DSGVO bietet. Das heißt, einen Schutz personenbezogener Daten gewährleistet, der dem in der Europäischen Union (EU) gebotenen Schutz gleichkommt. Am 10.07.2023 hat die Europäische Kommission ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-U.S. angenommen. Der Angemessenheitsbeschluss tritt sofort in Kraft. Die USA bieten somit grundsätzlich ein mit dem der EU vergleichbares „angemessenes Schutzniveau“ für personenbezogene Daten.
Was bedeutet dieser Beschluss für den transatlantischen Datenaustausch?
Angemessenheitsbeschlüsse haben zur Folge, dass personenbezogene Daten ohne weitere Schutzmaßnahmen grundsätzlich rechtssicher aus der EU in das betreffende Drittland übermittelt werden können, Art. 45 Abs. 1 DSGVO. Beim Datenschutzrahmen EU-U.S. reicht als Voraussetzung eine Selbst-Zertifizierung des US-Unternehmens.
Welche spezifischen Aspekte des Angemessenheitsbeschlusses könnten öffentliche Arbeitgeber/Dienstherren betreffen, insbesondere solche, die SAP-Lösungen verwenden?
Datenschutzrahmen EU-U.S. Data Privacy Framework ist sektoral und erfasst nur Datenübermittlungen an teilnehmende US-Unternehmen (nicht per se sämtliche Datenübermittlungen zwischen EU und USA). Damit Unternehmen personenbezogene Daten unter den Regeln des „Data Privacy Framework“ in die USA übertragen und dort verarbeiten dürfen, müssen diese sich einem speziellen Aufsichtsregime der US-Handelsaufsicht (FTC) oder des Handelsministeriums (Department of Commerce) unterwerfen. Hierzu müssen sie ihre Teilnahme anmelden – sofern sie die Kriterien nicht erfüllen, drohen bei Selbstverpflichtungsverstößen in den USA oft empfindliche Strafen. [1]
Welche Übermittlungen sind erfasst?
Auf Grundlage des EU‐US DPF können nahezu alle Übermittlungen personenbezogener Daten aus der EU an US‐Organisationen erfolgen, die aufgrund ihrer Zertifizierung zum EU‐US DPF in der EU‐US‐DPF‐Liste gelistet sind. Bei Beschäftigtendaten („Human resources data“ – HR‐Daten), welche im Beschäftigungskontext übermittelt werden, muss geprüft werden, ob die Zertifizierung sich tatsächlich auch auf diese Daten bezieht. Da die Zertifizierung diese nicht zwingend erfasst.[2]
Inwiefern wird sich dieser Angemessenheitsbeschluss von früheren Vereinbarungen unterscheiden, insbesondere in Bezug auf Datenschutz, Sicherheit und die Rechte der Einzelpersonen?
Der Europäische Gerichtshof (EuGH) hat im Sommer 2020 im „Schrems II“-Urteil das Privacy-Shield-Abkommen zwischen EU und USA mit sofortiger Wirkung für unwirksam erklärt. Im Urteil wurde festgestellt, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der US CLOUD Act weiterhin eine Massenüberwachung durch US-Geheimdienste ermöglichen und der Datenschutzstandard in den Vereinigten Staaten daher nicht dem in der EU entspricht. Nunmehr werden mit dem „neuen“ Datenschutzrahmen EU-USA verbindliche Garantien eingeführt. Sie sollen den seitens des EuGHs zuvor geäußerten Bedenken Rechnung tragen.
Insbesondere ist daher vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt wird. Der Begriff der „Verhältnismäßigkeit“ hält damit Einzug in das US-amerikanische Recht, wobei damit nicht notwendigerweise auch dasselbe Verständnis des Begriffs beiderseits des Atlantiks verbunden ist. Zudem wird ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) eingeführt. Dieses kann u. a. die Löschung personenbezogener Daten aus der EU anordnen, sollte es einen Verstoß gegen die neuen Garantien bei der Datenerhebung feststellen.
Cloud-Anbieter könnten einem Risiko extraterritorialer Einwirkungen, Zugriffe oder Offenlegungsverpflichtungen durch bzw. gegenüber Drittland-Behörden unterliegen. Etwa, weil sie ihren Sitz in einem Drittland haben, Tochterunternehmen eines Konzerns sind, für den Herausgabepflichten bestehen können, oder weil sie entsprechende Auftragsverarbeiter einsetzen.[3] Wie geht SAP mit den etablierten Verpflichtungen bzw. dem neuen rechtlichen Rahmen um?
Als Anbieter von Unternehmenssoftware erhält SAP – anders als manche B2C-Anbieter – nur sehr wenige behördliche Anfragen mit Offenlegungsersuchen. In diesen Fällen greift SAPs etablierter Prozess zum Umgang mit solchen Anfragen. So wird die anfragende Partei darüber informiert, dass alle Kundendaten in einem SAP-Cloud-System dem Kunden gehören und nicht SAP. Dass die Daten vertraulich sind, und SAP der anfragenden Partei keine Informationen herausgeben kann und wird, ohne zuvor seiner vertraglichen Verpflichtung nachzukommen, den Kunden über die Anfrage zu informieren. Hiermit wird dem Kunden Gelegenheit gegeben der Anfrage zuzustimmen oder Einspruch zu erheben und eine angemessene gerichtliche Schutzanordnung (sog. „protective order“) zu beantragen. Wenn die anfragende Partei SAP verbieten sollte den Kunden zu informieren, dann wird SAP versuchen dieses Verbot anzufechten soweit es ungültig oder rechtswidrig ist. Weitere Informationen zu SAPs Umgang mit behördlichen Offenlegungsersuchen finden Sie auf dem SAP Trust Center.
Warum steht SAP nicht auf der Liste der Firmen, für die der Angemessenheitsbeschluss zum Datenschutzrahmen EU-U.S. Data Privacy Framework gilt?
SAPs Verträge mit Kunden, Partnern und Lieferanten beruhen auf den sog. Standardvertragsklauseln (EU 2021/914) der EU-Kommission. SAP hält dies für einen robusten Mechanismus für den Transfer personenbezogener Daten in Drittländer, nicht nur in die USA. Die Legitimationswirkung des EU-U.S. Data Privacy Framework wirkt hingegen nur sektoral, das heißt lediglich für zertifizierte Unternehmen nach Maßgabe des U.S. Department of Commerce für Datentransfers in die USA. SAP nimmt an diesem Transfermechanismus nicht teil. Nichtsdestotrotz begrüßt SAP die Adäquanzentscheidung der EU-Kommission, da sie rechtliche Sicherheit für den Datenaustausch zwischen Europa und den USA herstellt. Denn die Verbesserungen der US-Regierung im Bereich der nationalen Sicherheit (einschließlich des neu eingeführten Rechtsbehelfsverfahrens), gelten letztlich für alle Datenübermittlungen in den USA, unabhängig davon ob Unternehmen am EU-US DPF teilnehmen oder auf andere Übermittlungsmechanismen, wie Standardvertragsklauseln, zurückgreifen. Weitere Informationen hierzu finden Sie im SAP Trust Center sowie auf der Webseite der EU-Kommission.
Gibt es spezifische Anpassungen oder Änderungen, die öffentliche Arbeitgeber/Dienstherren – die SAP einsetzen – vornehmen müssen, um den neuen Anforderungen, die der Beschluss mit sich bringt, gerecht zu werden?
Auf Grundlage des neuen Datenschutzrahmen EU-U.S. Data Privacy Framework ist die Übermittlung von Daten an US-Unternehmen möglich, die an dem Angemessenheitsbeschluss teilnehmen, ohne dass Verantwortliche zusätzliche Schutzvorkehrungen treffen müssen.
Wenig überraschend hatte auch Maximilian Schrems immer wieder Bedenken angemeldet. Die von ihm gegründete Nichtregierungsorganisation Nyob ist der Ansicht, dass sich der geplante Rechtsrahmen strukturell nicht von denjenigen unterscheide, die Schrems bereits zu Fall gebracht hat. Wird eine erneute Klage beim EuGH eingereicht werden und welche Folge hätte dies?
Die Datenschutzorganisation Noyb beklagt, dass das neue transatlantische Datenschutzabkommen weitgehend eine Kopie des gescheiterten „Privacy Shield“ sei, da sich am US-Recht wenig ändere. Das grundsätzliche Problem mit dem FISA-Abschnitt 702 werde von den USA nicht angegangen. Demnach haben nach wie vor nur US-Bürger verfassungsmäßige Rechte und dürfen nicht anlasslos überwacht werden. Max Schrems hat eine erneute Klage zum größten Teil schon fertig gestellt und für Anfang 2024 angekündigt. Eine endgültige Entscheidung ist 2024 oder 2025 zu erwarten. Der EuGH könnte den neuen transatlantischen Datenschutzrahmen für die Dauer des Verfahrens aussetzen.[4]
Welche Auswirkungen hätte es für öffentliche Arbeitgeber/Dienstherren, wenn der Beschluss zum Datenschutzrahmen EU-U.S. Data Privacy Framework gekippt würde?
Ohne Angemessenheitsbeschluss müssten Datenübermittlungen mit sofortiger Wirkung auf ein anderes Übermittlungsinstrument aus Kapitel V DSGVO gestützt werden, etwa geeignete Datenschutzgarantien nach Art. 46 DSGVO (bspw. Standardvertragsklauseln), um ein Schutzniveau zu gewährleisten, das dem in der Union garantierten der Sache nach gleichwertig ist. Ohne diese Maßnahmen, bzw. bei Ablehnung des Abschlusses entsprechender Vereinbarungen durch den Cloud-Anbieter wäre regelmäßig keine rechtssichere Übermittlung personenbezogener Daten mehr möglich.
Wie wird sich dieser Beschluss auf die Cloud-Strategie der öffentlichen Arbeitgeber/Dienstherren auswirken, die SAP nutzen?
Der Angemessenheitsbeschluss zum Datenschutzrahmen EU-U.S. bietet die Grundlage für eine rechtssichere Übermittlung personenbezogener Daten. Diese ist für ein ordnungsgemäßes Verwaltungshandeln zwingend geboten. Darüber hinaus unterliegt das jeweilige Vertragsverhältnis bei der Nutzung von U.S.-Cloud-Angeboten den rechtlichen Rahmenbedingungen der DSGVO, die ebenfalls von den öffentlichen Auftraggebern einzuhalten sind. Ebenso wie bei Cloud-Angeboten z. B. in der EU bleiben die Hürden bei personenbezogenen Daten sehr hoch. Konkretisiert werden die Anforderungen der Öffentlichen Verwaltung und die Erwartungshaltung an die Cloud-Anbieter in dem neuen Positionspapier „Souveräne Cloud für die Öffentliche Verwaltung“, das die DSAG aktuell vorbereitet.
Zudem ist sinnvollerweise, bevor entsprechende Investitionsentscheidungen getroffen werden, eine etwaige gerichtliche Überprüfung des neuen Datenschutzrahmens durch den EuGH bzw. deren Ergebnis abzuwarten; ebenso die Reaktion bzw. der Umgang seitens betroffener US-Unternehmen mit den durch den neuen Datenschutzrahmen etablierten Verpflichtungen. Auch die EU-Kommission könnte den Angemessenheitsbeschluss widerrufen, ändern oder aussetzen, wenn die regelmäßige Überprüfung gem. Art. 45 Abs. 5 DSGVO ergibt, dass das Schutzniveau sich entsprechend verringert hat (z. B. bei politischen Veränderungen).
Im Ergebnis hat dieser Beschluss deshalb keine Auswirkung auf die Cloud-Strategie der öffentlichen Arbeitgeber/Dienstherren.
[1] Europas Datenschützer machen Weg für EU-US-Datenschutzvereinbarung frei | heise online
[2] Vgl. Anwendungshinweise DSK vom 4. September 2023, Ziff. 1.2 (Seite 12) Anwendungshinweise zum Angemessenheitsbeschluss der Europäischen Kommission zum Datenschutzrahmen EU-USA (EU-US Data Privacy Framework) vom 4. September 2023 (datenschutzkonferenz-online.de)
[3] Vgl. Positionspapier der DSK https://datenschutzkonferenz-online.de/media/weitere_dokumente/2023-05-11_DSK-Positionspapier_Kritierien-Souv-Clouds.pdf vom 11. Mai 2023.
[4] Kritik an „Wahnsinn“: EU-Kommission gibt Datentransfer in die USA wieder frei | heise online | Europäische Kommission gibt EU-US-Datentransfers 3. Runde beim EuGH (noyb.eu) | Max Schrems: Dritter Anlauf für Klage gegen EU-US-Datentransfer (riffreporter.de)
dsag_extern_calender