Kippt bald das EU-U.S. Data Privacy Framework?
Das Trans-Atlantic Data Privacy Framework (TADPF) ist eine Rechtsgrundlage für Datenübermittlungen in die USA. Aktuell lässt US-Präsident Trump zahlreiche Executive Orders seines Vorgängers überprüfen, darunter auch diejenigen, auf die sich das EU-U.S. Data Privacy Framework (TADPF) maßgeblich stützt. Was sollten Sie jetzt tun?
Der transatlantische Datenschutz steht womöglich vor einer neuen Herausforderung: Unter US-Präsident Trump wird der bestehende Rechtsrahmen eher nicht gestärkt, sondern eher geschwächt. Das lässt sich unter anderem daraus ablesen, dass er die Prüfung von Executive Orders seines Vorgängers im Amt veranlasst und Mitglieder eines Kontrollgremiums, das für die Einhaltung des TADPF mit-verantwortlich ist, entlassen hat.
Was bedeutet es, wenn das TADPF als Rechtsgrundlage wegfällt?
Bisher gibt es vor allem zwei gängige Wege, um personenbezogene Daten rechtskonform in die USA zu übermitteln:
Abschluss von EU-Standardvertragsklauseln (SCC): Eine bewährte Methode, um zwischen Vertragspartnern ein angemessenes Datenschutzniveau zu vereinbaren.
Selbst-Zertifizierung gemäß des TADPFs: Der Datenaustausch mit US-Unternehmen, die sich als konform mit den EU-Datenschutzstandards erklären, erfüllt ebenfalls die Voraussetzungen.
Sollte das TADPF ungültig werden, wären alle darauf basierenden Datenübermittlungen rechtswidrig (so wie es bereits bei dessen Vorgängern Privacy Shield und Safe Harbour der Fall war). Das bedeutet, dass Unternehmen dann kurzfristig handeln müssten, um weiterhin DSGVO-konform zu arbeiten.
Es ist unklar, wie wahrscheinlich dieser Fall ist. Aber Unternehmen könnten sich bereits jetzt mit den möglichen Konsequenzen befassen und alternative Lösungen vorbereiten.
Wie kann Sie eine gut gepflegte Datenschutz-Dokumentation dabei unterstützen?
Mit foxondo können Sie diesen Fall schnell und effizient vorbereiten:
1. Identifikation betroffener Verträge
Mit einer Filterung nach den Tags „Drittland“ + „Rechtsgrundlage“ können Sie die relevanten Stellen in foxondo einfach finden und so diejenigen Datenverarbeitungen in Ihrer Dokumentation identifizieren, die sich auf das TADPF stützen.
Sie könnten diese Fragen beispielsweise mit dem Status „in Bearbeitung“ oder „Handlungsbedarf“ kennzeichnen und einen Kommentar hinterlegen, dass eine Umstellung auf SCC’s geprüft wird.
2. Prüfung und Anpassung von Vertragsgrundlagen
Überprüfen Sie, ob Sie mit Ihren Dienstleistern EU-Standardvertragsklauseln abschließen können.
Wichtig: Vergessen Sie nicht, diese Änderung in foxondo entsprechend zu dokumentieren.
3. Transfer Impact Assessment (TIA)
Sollte eine Umstellung auf SCC’s möglich sein, dann muss das Transfer Impact Assessment (TIA), in dem die Risiken von Datenübermittlungen in die USA zu bewerten sind, neu erstellt werden. Das gilt übrigens auch, wenn das TADPF fällt.
Wenden Sie sich dafür am besten an Ihren Datenschutzbeauftragten oder melden Sie sich bei uns: Wir unterstützen Sie gerne.
Gibt es noch eine Alternative?
Sollte für Sie auch ein Wechsel des Dienstleisters in Frage kommen, dann wählen Sie am besten einen Anbieter aus der EU. Einen Überblick über Alternativen für digitale Dienstleistungen und Cloud-Produkte erhalten Sie z.B. hier: https://european-alternatives.eu/de
Sie haben noch Fragen dazu?
Dann melden Sie sich gerne bei uns unter info@foxondo.com.