Am 10.07.2023 ist ein neuer transatlantischer Datenschutzrahmen (Data Privacy Framework) in Kraft getreten. Mit dem „Privacy Shild 2.0“ ist die Nutzung von amerikanischen Webtracking-, Webanalyse- und Marketingtools auf EU-Webseiten nun wieder zulässig – vorausgesetzt der Softwareanbieter ist Teilnehmer des EU-/Swiss-/UK-US-Datenschutzabkommen.
Hintergrund
Im Juli 2020 hat der Eurpäische Gerichtshof den Privacy Shield 1.0, der den ungehinderten Datenverkehr zwischen der EU und den USA ermöglichte, abgeschafft. Dieser erlaubte es US-Handelsunternehmen personenbezogene Daten aus der EU in die USA zu übertragen und dort zu speichern. Durch das Urteil des EuGH, auch als Schrems II bekannter Fall (C-3111/18), wurden die USA zu einem nicht-adäquaten Land ohne gesonderten Zugang zu Europas personenbezogenen Datenströmen.
Aktuelle Situation
„Willkommen beim Data Privacy Framework – Programm (DPF)“ heißt es auf deren Website, die wir Ihnen hier gern verlinken: https://www.dataprivacyframework.gov/s/
Abb. 1: Startseite des Data Privacy Framework Program, Stand: 08.08.2023, Quelle: https://www.dataprivacyframework.gov/s/
Die Datenschutzrahmen der EU, Schweiz und die britische Erweiterung des EU-U.S. DPF wurden entwickelt, um US-Organisationen verlässliche Mechanismen für die Übermittlung personenbezogener Daten zu bieten. Gleichzeitig soll ein Datenschutz gewährleistet werden, der mit dem Recht der EU, des Vereinigten Königreichs und der Schweiz vereinbar ist.
Die folgende Abbildung zeigt die Startseite des neuen Data Privacy Framework Program. Menüpunkt 2 „Self-Certify“ (Abb. 1 roter Pfeil): zum Selbstzertifizieren gibt es auch eine detaillierte Schritt-für-Schritt Anleitung. Zum Vergrößern auf das Bild klicken.
Abb. 2: Die Gebühr für die Antragsbearbeitung beträgt 375 Dollar, Stand: 08.08.2023, Quelle: https://www.privacyshield.gov/ps/servlet/servlet.FileDownload?file=015t000000079DJ
DPF (Data Privacy Framework) – Liste
Hat alles geklappt, wird das Unternehmen in die DPF – Liste aufgenommen und gilt ab sofort als „sicherer Datenempfänger im Sinne der EU, Schweiz und/oder dem Vereinigten Königreich“.
Abb. 3: Data Privacy Framework List mit 2485 zertifizierten Unternehmen, Stand: 08.08.2023, Quelle: https://www.dataprivacyframework.gov/s/participant-search
Zeitfenster, Frameworks und Fazit
Innerhalb von 4 Wochen haben sich also bereits 2485 Unternehmen registriert, deren Antrag wurde bearbeitet, vollumfänglich geprüft, fehlende Unterlagen wurden nachgereicht bis der Softwareanbieter schlussendlich die Zertifizierung „datenschutzkonform im Sinne der EU, Schweiz und/oder dem Vereinigten Königreich“ erhalten hat. Wie viel Manpower wird benötigt, um so viele Anträge in 28 Tagen zu bearbeiten? Die Einnahmen belaufen sich auf knapp 1 Million US-Dollar ($ 375 * 2485 = $ 931.875). Fraglich ist jedoch, ob eine Länderlizenz 375 Dollar kostet oder man sich auch für alle 3 Länder zum gleichen Preis zertifizieren lassen kann (Abb. 3 roter Kreis):
- EU-U.S. Data Privacy Framework
- Swiss-U.S. Data Privacy Framework
- UK Extension to the EU-U.S. Data Privacy Framework.
Aktuell gelten nun alle Unternehmen und Softwareanbieter als rechtssicher und datenschutzfreundlich, die in der DPF-Liste geführt werden. Sie dürfen unter Verwendung eines Consent Tools (=Cookie-Banner), auf der eigenen Homepage (weiter) verwendet werden.
Deutsche Übersetzung des EU-U.S. Data Privacy Framework
Englische Version: https://ec.europa.eu/commission/presscorner/detail/en/fs_23_3754
Heute hat die Europäische Kommission ihren Angemessenheitsbeschluss über den EU-US-Datenschutzrahmen angenommen, der mit sofortiger Wirkung in Kraft tritt.
Die wichtigsten Grundsätze:
- Auf der Grundlage des Angemessenheitsbeschlusses werden personenbezogene Daten frei und sicher zwischen der EU und den teilnehmenden US-Unternehmen fließen können.
- Ein neues Regelwerk und verbindliche Garantien, um den Datenzugriff der US-Geheimdienste auf das zu beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist; die US-Geheimdienste werden Verfahren einführen, die eine wirksame Überwachung der neuen Datenschutz- und Bürgerrechtsstandards gewährleisten
- Ein neues zweistufiges Rechtsbehelfssystem zur Untersuchung und Beilegung von Beschwerden von Europäern über den Zugang zu Daten durch US-Nachrichtendienste, das auch ein Datenschutz-Überprüfungsgericht umfasst
- strenge Verpflichtungen für Unternehmen, die aus der EU übermittelte Daten verarbeiten, einschließlich der Verpflichtung zur Selbstzertifizierung der Einhaltung der Standards durch das US-Handelsministerium
- Spezifische Überwachungs- und Überprüfungsmechanismen
Vorteile des Rechtsrahmens:
- Angemessener Schutz der in die USA übermittelten Daten der Europäer, der den Anforderungen des Europäischen Gerichtshofs gerecht wird
- Sicherer und geschützter Datenverkehr
- Dauerhafte und zuverlässige Rechtsgrundlage
- Wettbewerbsfähige digitale Wirtschaft und wirtschaftliche Zusammenarbeit
- Anhaltende Datenströme, die den grenzüberschreitenden Handel in Höhe von 900 Milliarden Euro pro Jahr unterstützen
Timeline – Zeitstrahl […] 2024: Erste regelmäßige Überprüfung des Rechtsrahmens. Ende der Bekanntgebung und Übersetzung.
Gesetz über digitale Dienste
Das Gesetz über digitale Dienste (Digital Service Act) wird die 20 Jahre alte E-Commerce-Richtlinie ergänzen und Teile von ihr aktualisieren. Es soll zu einem „sicheren, vorhersehbaren und vertrauenswürdigen“ Online-Umfeld beitragen und einen reibungslosen Ablauf des EU-Binnenmarktes für Vermittlungsdienste (= Online-Plattformen) ermöglichen (Quelle: Bundesregierung). Dafür hat die EU-Kommission 17 sehr große Online-Plattformen und Suchmaschinen namentlich benannt, die binnen 4 Monaten ihre „systematischen Risiken“ bewerten und mindern so wie „robuste Instrumente zur Moderation von Inhalten“ bereitstellen müssen. Welche Plattformen sind das? Pressemitteilung der Europäischen Kommission
Gesetz über digitale Märkte
Das Gesetz über digitale Märkte (Digital Market Act) ergänzt das Wettbewerbsrecht. Die EU-Kommission stellt darin einen Verhaltenskodex für große Digitalunternehmen auf:
- Für personalisierte Werbung werden strenge Regelungen eingeführt. Gatekeeper dürfen diese nur noch mit Einwilligung der Endnutzer/innen ausspielen. Zugleich wird sichergestellt, dass Nutzer/innen nicht z.B. durch sog. Dark Patterns (Schnittstellen-Design, das darauf abzielt, den Benutzer zu Handlungen zu verleiten, die nicht in seinem Interesse sind) in eine Einwilligung gedrängt werden können. Die Regelung kann so dazu beitragen, die Datenschutzgrundverordnung besser durchzusetzen und die Datensammlungswut großer Digitalunternehmen zu begrenzen.
- Die Wahlmöglichkeiten für Verbraucher/innen werden gestärkt, indem Gatekeeper verpflichtet werden, ihnen den Wechsel ihrer Standarddienste zu erleichtern. Bisher verwenden zwischen 90 und 95 Prozent der Nutzer/innen die vorinstallierten Standarddienste wie z.B. den Webbrowser.
- Bei Messengerdiensten sollen ein hohes Datenschutzniveau und andere qualitative Merkmale wettbewerbsentschiedend werden. Quelle: BMWK
Die jährliche Risikobewertung der großen Online-Plattformen ist der EU-Kommission bzw. einer speziell dafür eingerichteten Aufsichtsstruktur vorzulegen. Die neue Aufsichtsstruktur muss bis zum 17.02.2024 eingerichtet sein. Zu derselben Frist müssen auch alle anderen Plattformen ihren Verpflichtungen aus dem Gesetz über digitale Dienste nachkommen und ihren Nutzer/innen den im Gesetz über digitale Dienste festgelegten Schutz bieten sowie die entsprechenden Schutzvorkehrungen treffen.
Es bleibt spannend, wie die neue Aufsichtsstruktur aussehen wird und die Risikobewertungen der Global Player ausfallen. Updates zu diesem Beitrag finden Sie später an dieser Stelle. Grundsätzlich sind die neuen Regelungen zu begrüßen. Für die Praxis im Webdesign gibt es erstmal keine gravierenden Änderungen, weil der Datenstrom ins Ausland grundsätzlich einen Cookie-Banner erfordert.
