US-Datenverarbeitung wieder erlaubt: Trans-Atlantic Data Privacy Framework schafft rechtliche Grundlage

US and EU allows data transfer and cookies again

Das Trans-Atlantic Data Privacy Framework (TADPF) schafft nach Jahren der Unsicherheit eine neue rechtliche Grundlage f├╝r die Datenverarbeitung in den USA. Daher hat die Europ├Ąische Kommission am 10. Juli 2023 einen Angemessenheitsbeschluss zur US-Datenverarbeitung gefasst, die ein hinreichendes Datenschutzniveau im Sinne der DSGVO bescheinigt.

In diesem Artikel werden wir uns anschauen, wie sich die Rechtslage konkret ver├Ąndert hat, welche Vorteile das f├╝r Website-Besucher mit sich bringt und was Website-Betreiber unbedingt beachten m├╝ssen. Denn neben der Kritik am Trans-Atlantic Data Privacy Framework gibt es eine knifflige H├╝rde f├╝r Website-Betreiber, um US-Services wieder sicher einzubinden. Wir erkl├Ąren dir auch, wie du diese H├╝rde ganz einfach mit Real Cookie Banner f├╝r WordPress meistern werden kannst!

Wir m├╝ssen darauf hinweisen, dass die folgenden Aussagen keine Rechtsberatung darstellen. Wir k├Ânnen dir daher nur Einsch├Ątzungen aus unserer intensiven Erfahrung mit den EU-Rechtsvorschriften in der Praxis und eine technische Einsch├Ątzung der Situation geben.

Was war das Problem mit der US-Datenverarbeitung?

Die Datenschutz-Grundverordnung (DSGVO) legt ein sehr hohes Schutzniveau f├╝r die Verarbeitung personenbezogener Daten fest und gew├Ąhrt umfangreiche Rechte f├╝r betroffene Personen, wie zum Beispiel Auskunftsrechte, Widerrufsrechte und das Recht auf L├Âschung. Das Hauptproblem bei der Datenverarbeitung in den USA bestand in den unterschiedlichen Datenschutzstandards zwischen der EU und den USA. Insbesondere die Befugnisse der US-Beh├Ârden, auf personenbezogene Daten von Nicht-US-B├╝rgern ohne hinreichenden Rechtsbehelf (einfach gesagt: dagegen vorgehen zu k├Ânnen) zuzugreifen, haben zur M├Âglichkeit unerw├╝nschter ├ťberwachung und Zugriffe seitens staatlicher Beh├Ârden in den USA gef├╝hrt. Dies war f├╝r die EU eines der Probleme, um das Datenschutzniveau der USA als ausreichend zu betrachten.

Die Europ├Ąische Kommission, ein Organ der EU, hatte den USA fr├╝her bereits ein angemessenes Datenschutzniveau bescheinigt. Allerdings erkl├Ąrte der Europ├Ąische Gerichtshof (EuGH) im Jahr 2020 mit dem Urteil "Schrems II" den sogenannten Angemessenheitsbeschluss zwischen der EU und den USA, das "EU-US Privacy Shield", f├╝r ung├╝ltig (ebenso wie zuvor das "Safe Harbor"-Abkommen). Kurz gesagt, sah der EuGH im Gegensatz zur Europ├Ąischen Kommission keinen ausreichenden Schutz personenbezogener Daten von EU-B├╝rgern in den USA.

Seit diesem Urteil ist es f├╝r Website-Betreiber als datenschutzrechtlich Verantwortliche deutlich komplizierter geworden, eine datenschutzkonforme Datenverarbeitung in den USA durchzuf├╝hren. Es sind nicht nur Auftragsverarbeitungsvertr├Ąge erforderlich, sondern auch Standardvertragsklauseln und weitere Ma├čnahmen, um ├╝berhaupt eine Datenverarbeitung in den USA zu erm├Âglichen.

Wenn die Standardvertragsklauseln nicht funktionierten (oder Website-Betreiber weiter auf Nummer sicher gehen wollten), musste die Datenverarbeitung h├Ąufig auf Art. 49 DSGVO gest├╝tzt werden. Dieser Artikel beschreibt die Bedingungen f├╝r die ├ťbermittlung personenbezogener Daten in Drittl├Ąnder au├čerhalb der EU oder des EWR, wenn f├╝r dieses Land kein Angemessenheitsbeschluss vorliegt. Eine spezielle Einwilligung zur Datenverarbeitung auf deiner Website gem├Ą├č Art. 49 DSGVO ist jedoch nur eine Ausnahme, die unter bestimmten Umst├Ąnden genutzt werden kann. Praktisch hattest du einen langen Text zur US-Datenverarbeitung in deinem Cookie Banner:

Einige Services verarbeiten personenbezogene Daten in den USA. Indem du der Nutzung dieser Services zustimmst, erkl├Ąrst du dich auch mit der Verarbeitung deiner Daten in den USA gem├Ą├č Art. 49 (1) lit. a DSGVO einverstanden. Die USA werden vom EuGH als ein Land mit einem unzureichenden Datenschutzniveau nach EU-Standards angesehen. Insbesondere besteht das Risiko, dass deine Daten von US-Beh├Ârden zu Kontroll- und ├ťberwachungszwecken verarbeitet werden, unter Umst├Ąnden ohne die M├Âglichkeit eines Rechtsbehelfs.

F├╝r Website-Betreiber ist es praktisch kaum m├Âglich, auf Dienste von US-Konzernen wie Google, Facebook, Microsoft und Co. zu verzichten, ohne sich erheblich einzuschr├Ąnken. Eine wirklich sichere Datenverarbeitung hatte jedoch viele Fallstricke, wie das Urteil gegen den Einsatz von Google Fonts oder der Amtsbescheid gegen Google Analytics in ├ľsterreich deutlich gemacht haben. Eine Website rechtssicher zu betreiben war daher kein Kinderspiel mehr!

Trans-Atlantic Data Privacy Framework schafft neue rechtliche Grundlage f├╝r US-Datenverarbeitung

Am 10. Juli 2023 war es endlich so weit: Die Pr├Ąsidentin der Europ├Ąischen Kommission, Ursula von der Leyen, verk├╝ndete ├╝ber Twitter, dass der Angemessenheitsbeschluss f├╝r das Trans-Atlantic Data Privacy Framework beschlossen worden ist. Ein langer Name f├╝r eine Vereinbarung ÔÇô weder ein Gesetz noch eine beh├Ârdliche Anordnung ÔÇô zwischen der EU-Kommission und dem US-Handelsministerium. In dieser Vereinbarung verpflichteten sich die USA, ihr Datenschutzniveau zu verbessern, w├Ąhrend die EU-Kommission im Gegenzug einen Angemessenheitsbeschluss f├╝r die ├ťbertragung und Verarbeitung von Daten in den USA erl├Ąsst.

Ursula von der Leyen @vonderleyen "We adopted our adequacy decision for the ­č笭čç║­čç║­čçŞData Privacy Framework, following the agreement I had reached with @POTUS last year. I welcome the important commitments taken by the US. So that citizens can trust that their data is safe and so we can deepen economic ties."

Ein wesentlicher Aspekt des neuen Angemessenheitsbeschlusses besteht in der Schaffung eines st├Ąrkeren rechtlichen Rahmens f├╝r den Datenverkehr zwischen der EU und den USA (Englisch). Die Vereinbarung baut auf dem bestehenden Rahmenwerk des "EU-US Privacy Shield" auf, das 2020 vom Europ├Ąischen Gerichtshof aufgrund von Bedenken hinsichtlich der ├ťberwachungspraktiken der USA f├╝r ung├╝ltig erkl├Ąrt wurde. Obwohl der neue Angemessenheitsbeschluss strengere Sicherheitsma├čnahmen und verbesserte Transparenz vorsieht, gibt es weiterhin viel Kritik dar├╝ber, ob diese Ma├čnahmen ausreichen, um einen angemessenen Schutz der Privatsph├Ąre zu gew├Ąhrleisten. Insbesondere Noyb, die Organisation des ├Âsterreichischen Juristen Max Schrems, der bereits die beiden vorherigen Angemessenheitsbeschl├╝sse vor den EuGH gebracht hat, ├Ąu├čert harsche Kritik. Au├čerdem plant noyb bereits rechtliche Schritte gegen den Angemessenheitsbeschluss.

Dennoch d├╝rfte dieser Angemessenheitsbeschluss vorerst einige Jahre Ruhe in die Diskussion um die Datenverarbeitung in den USA bringen wird. Organisationen wie Noyb werden Zeit ben├Âtigen, um rechtliche Wege zu beschreiten und den neuen Angemessenheitsbeschluss von dem EuGH erneut ├╝berpr├╝fen zu lassen. Als Website-Betreiber hast du also etwas Ruhe, um durchzuatmen!

Die genaue Bewertung des neuen Angemessenheitsbeschlusses durch den EuGH k├Ânnten Auswirkungen auf die Zukunft des Datenverkehrs zwischen der EU und den USA haben. Trotz der berechtigten Kritikpunkte erm├Âglicht der Angemessenheitsbeschluss einen erleichterten Datenverkehr in die USA und f├Ârdert dadurch die wirtschaftliche Zusammenarbeit. Du als Website-Betreiber kannst von der Vereinfachung der Daten├╝bertragungsprozesse stark profitieren, da du nun nicht mehr auf alternative rechtliche Mechanismen wie Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften zur├╝ckgreifen musst. Dies reduziert den Aufwand und verringert administrative Komplexit├Ąten, was zu einer effizienteren Zusammenarbeit f├╝hrt. Zumindest in der Theorie, wie wir im Folgenden sehen werden.

Worauf m├╝ssen Website-Betreiber zuk├╝nftig bei der Datenverarbeitung in den USA achten?

Auch in Zukunft musst du einen Auftragsverarbeitungsvertrag mit dem Unternehmen abschlie├čen, das deine Daten verarbeitet. Das gilt genauso wie f├╝r Unternehmen aus anderen sicheren oder unsicheren L├Ąndern im Sinne der DSGVO. Aber der lange Text zur US-Datenverarbeitung in deinem Cookie Banner kann entfallen.

Allerdings gibt es einen kniffligen Teil f├╝r dich als Website-Betreiber: Der Angemessenheitsbeschluss der Europ├Ąischen Kommission f├╝r die USA, basierend auf dem Trans-Atlantic Data Privacy Framework, betrachtet die Datenverarbeitung in den USA nicht generell als sicher. Stattdessen haben US-Unternehmen nun die M├Âglichkeit, sich selbst gem├Ą├č dem Trans-Atlantic Data Privacy Framework und den europ├Ąischen Datenschutzgrunds├Ątzen zu verpflichten und zu zertifizieren. Eine Liste aller zertifizierten US-Unternehmen findest du seit dem 17. Juli 2023 auf dataprivacyframework.gov, bereitgestellt von dem US-Handelsministerium. Zuk├╝nftig gelten nur Datenverarbeitungen in den USA durch zertifizierte Unternehmen als sicher. Alle anderen US-Datenverarbeitungen bleiben unsicher, es sei denn, die Anbieter treffen andere geeignete Schutzma├čnahmen wie die bereits bekannten Standardvertragsklauseln.

Praktisch bedeutet dies, dass du f├╝r die meisten US-Services keine Einwilligung nach Art. 49 DSGVO mehr in deinem Cookie Banner einholen musst oder solltest. Der lange Textbaustein zur US-Datenverarbeitung in deinem Cookie Banner kann dann entfallen (wenn keine Datenverarbeitung in anderen unsicheren Drittl├Ąndern stattfindet).

Was du wo in Real Cookie Banner angeben musst!

Wir haben bereits mit Real Cookie Banner 3.8.0 die M├Âglichkeit geschaffen, anzugeben, in welchen L├Ąndern die Datenverarbeitung stattfindet und welche als sicher gelten. Nach der Verabschiedung des Angemessenheitsbeschlusses am 10. Juli 2023 haben wir dir in Real Cookie Banner 3.9.0 die M├Âglichkeit geschafft, festzulegen, dass ein Service f├╝r die sichere Datenverarbeitung in den USA nach dem neuen TADPF zertifiziert ist. Au├čerdem kannst du jetzt alternativ die Datenverarbeitung mit Standardvertragsklauseln legitimieren.

Gehe in deinem WordPress-Backend zu Cookies > Services (Cookies) und bearbeite einen bestehenden Service oder erstelle einen neuen. Wenn im Feld "L├Ąnder der Datenverarbeitung" die Vereinigten Staaten angegeben sind, wird direkt darunter der neue Abschnitt "Sonderbehandlung f├╝r unsichere L├Ąnder" angezeigt.

US-Datenverarbeitung in Real Cookie Banner

Um die Checkbox "Anbieter ist nach dem Trans-Atlantic Data Privacy Framework f├╝r die sichere Datenverarbeitung in den USA selbstzertifiziert" ankreuzen zu k├Ânnen, musst du auf der Website dataprivacyframework.gov ├╝berpr├╝fen, ob der Anbieter des von dir genutzten Services nach dem TADPF selbstzertifiziert ist.

Alternativ kannst du die Checkbox "Ich habe Standardvertragsklauseln mit dem Anbieter abgeschlossen" ankreuzen, wenn du einen Vertrag mit dem Anbieter hast, dessen Service du in deine Website eingebunden hast. ├ťberpr├╝fe diesen Vertrag, um zu sehen, ob du die sogenannten Standardvertragsklauseln darin findest. Das ist ein von der EU vorgeschriebener Vertragsbestandteil, der dir versichert, dass die Datenverarbeitung sicher im Sinne der DSGVO durchgef├╝hrt wird, egal wo auf der Welt.

Wenn du eines der beiden Checkboxen setzen kannst, wird die Einwilligung nach Art. 49 DSGVO f├╝r die US-Datenverarbeitung in deinem Cookie Banner nicht mehr eingeholt, da du sie nicht mehr ben├Âtigst.

In K├╝rze werden wir die entsprechenden typischen Informationen auch in alle Service-Vorlagen in Real Cookie Banner aufnehmen.

Fazit: US-Services wieder nutzbar, aber mit zus├Ątzlichem Aufwand f├╝r Website-Betreiber

Zusammenfassend kann festgestellt werden, dass der neue Angemessenheitsbeschluss der EU f├╝r die USA einen wichtigen Schritt zur St├Ąrkung des Datenschutzes und des transatlantischen Datenverkehrs darstellt. Die erh├Âhten Datenschutzstandards und verbesserten rechtlichen Rahmenbedingungen sollen sicherstellen, dass die personenbezogenen Daten der EU-B├╝rger angemessen gesch├╝tzt werden. Dennoch bleiben berechtigte Kritikpunkte bestehen, und es bleibt abzuwarten, wie der EuGH auf eine Klage von Max Schrems reagieren wird.

Als Website-Betreiber musst du im Einwilligungsdialog (Cookie-Banner) weitere Angaben machen, da der Angemessenheitsbeschluss nicht die ganzen USA, sondern nur Datenverarbeitungen zertifizierter Unternehmen als sicher erkl├Ąrt. Dadurch kannst du die allermeisten relevanten US-Services wieder rechtssicher auf deiner Website einbinden.

Sobald sich alle, f├╝r dich relevanten, US-Services nach dem Trans-Atlantic Data Privacy Framework selbst zertifiziert haben, wird auch ein gro├čer Textblock in Cookie Bannern entfallen k├Ânnen. Dadurch wird die Transparenz auf deiner Website gest├Ąrkt und Website-Besucher k├Ânnen einfachere Entscheidungen dar├╝ber treffen, welchen Datenverarbeitungen sie zustimmen m├Âchten und welchen nicht.