Der europäische Gesetzgeber verdichtet weiterhin aktiv die rechtlichen Rahmenbedingungen in Bezug auf
Angemessenheitsbeschluss EU-USA und Data Act.

TOP1:
Angemessenheitsbeschluss EU-USA – mehr Rechtssicherheit bei transatlantischer Übermittlung personenbezogener Daten

Die Europäische Kommission hat am 10. Juli 2023 ihren Angemessenheitsbeschluss für das transatlantische Datenschutzabkommen zwischen der EU und den USA (EU-U.S. Data Privacy Framework, kurz „EU-U.S. DPF“) angenommen. Der Angemessenheitsbeschluss tritt ab sofort ohne Übergangsphase in Kraft. Personenbezogene Daten aus der EU können an EU-U.S. DPF zertifizierte Empfänger in den USA übermittelt werden, ohne weitere Übermittlungsinstrumente (z.B. Standardvertragsklauseln und sog. Transfer Impact Assessments) oder zusätzliche Schutzmaßnahmen.

Übermittelnde EU-Unternehmen müssen vorab sicherstellen, dass der Datenempfänger zertifiziert ist. Informationen zu den Anforderungen und dem Prozess einer (Selbst-)Zertifizierung nach dem EU-U.S. DPF sowie eine Liste der zertifizierten U.S.-Unternehmen sind u.a. unter folgenden Websites des U.S. Department of Commerce (DoC) verfügbar:

• https://www.dataprivacyframework.gov/s/participant-search
• https://www.dataprivacyframework.gov/s/key-requirements
• https://www.dataprivacyframework.gov/s/article/How-to-Join-the-Data-Privacy-Framework-DPF-Program-part-1-dpf

Maßnahmen, die von übermittelnden EU-Unternehmen in diesem Rahmen getroffen werden sollten, sind insbesondere:

• Die Prüfung, ob der jeweilige Empfänger nach dem EU-U.S.-Framework zertifiziert ist.
• Die Prüfung, ob die jeweils relevanten Auftragsverarbeitungsverträge angepasst werden müssen.
• Die Anpassung der jeweils relevanten Datenschutzhinweise für die betroffenen Personen.
• Gegebenenfalls die Anpassung der relevanten Dokumentationen im Verzeichnis der Verarbeitungstätigkeiten.

Abzuwarten bleibt, wie lange die neugewonnene Rechtssicherheit währt. Max Schremms, ein österreichischer Datenschutzjurist, hat bereits angekündigt, das neue Abkommen vor dem Europäischen Gerichtshof aufgrund unwirksamer Schutzmaßnahmen anzufechten, wie er es bereits bei den vorangegangenen Abkommen „Safe Harbor“ und „Privacy Shield“ erfolgreich getan hatte.

Wir halten Sie weiterhin über die Entwicklungen rund um den neuen Angemessenheitsbeschluss auf dem Laufenden und bieten Ihnen gerne an, Sie bei der Prüfung zulässiger Datenübermittlungen in die USA und der Anpassung der relevanten Datenschutzinformationen zu unterstützen.

An unsere Mandanten mit verbundenen Unternehmen in den USA:
Unseres Erachtens bedarf es einer unternehmerischen Entscheidung, ob sich der Aufwand einer (Selbst-)Zertifizierung und darauffolgende Anpassungsbedarfe (insb. Datenschutzverträge u. Datenschutzhinweise) angesichts der Möglichkeit einer erneuten Anfechtung des Angemessenheitsbeschlusses vor dem EuGH lohnt. Alternativ bestünde die Möglichkeit, EU-U.S.-Datenübermittlungen weiterhin auf die EU-Standardvertragsklauseln (auch „SCC“ genannt) und die Durchführung sog. Transfer Impact Assessments (auch „TIAs“ genannt) zu stützen. Gerne bieten wir Ihnen an, Sie bei der Abwägung beider Alternativen unter Berücksichtigung der jeweiligen Vor- und Nachteile zu unterstützen.

TOP2:
Data Act steht kurz vor Verabschiedung – Anbieter von IoT- und Cloud-Leistungen werden mit neuen gesetzlichen Vorgaben konfrontiert

Die EU-Kommission, das Europaparlament und der Rat der Europäischen Union erzielten am 27. Juni 2023 eine politische Einigung über den Data Act. Wer von Ihnen an unserem Early Bird Update im Januar teilgenommen hat, gewann bereits erste Eindrücke von diesem Gesetzesvorhaben. Der Data Act leitet ein Umdenken im Datenwirtschaftsrecht ein: Unternehmen werden unter bestimmten Voraussetzungen zur Öffnung ihrer „Datenschleusen“ verpflichtet.

Wichtige Regelungsbereiche, die weitreichende Auswirkungen auf die Vertragsgestaltung und Geschäftsmodelle haben könnten:

1. Gesetzliche Ansprüche von Nutzern von IoT(Internet of Things)-Produkten und -Diensten (z.B. Smart-Kühlschränke, Fitness-Tracker, IoT-Systeme in der Produktionssteuerung oder Logistik etc.) auf kostenlose/n Datenzugang und -weitergabe an Dritte.
2. Zahlreiche Pflichten von Herstellern und Anbietern solcher Produkte und Dienste (z.B. ausführliche vorvertragliche Informationspflichten).
3. Zulässigkeit der Datennutzung und -weitergabe nur auf Basis von Datenverträgen und -klauseln, mit Vorgaben zu deren Inhalt und Wirksamkeit.
4. Pflichten von Cloud-Anbietern, den Wechsel von Kunden zu Alternativanbietern kostenlos zu ermöglichen, zu erleichtern und aktiv zu unterstützen (bspw. in Form einer grundsätzlichen Kündigungsfrist von 60 Tagen).
5. Gesetzlich vorgeschriebene Mindestbestandteile für Cloud-Verträge bezüglich der Wechselmodalitäten.

Verstöße gegen die Vorschriften des Data Act sollen zu einem großen Teil gemäß den Vorschriften der DSGVO sanktioniert werden.

Wir gehen derzeit davon aus, dass der Data Act noch in diesem Jahr in Kraft treten wird. Die Mehrheit der Regelungen soll dann 18 Monate nach dem Inkrafttreten zur Anwendung kommen.

Wir laden insbesondere diejenigen unter Ihnen ein, deren Produkte und Dienste potenziell unter den oben skizzierten Anwendungsbereich fallen könnten (IoT-Produkte, IoT-Dienste/-Anwendungen und Cloud-Services), sich bei uns zu melden. Wir stehen bereit, eine Auswirkungsanalyse durchzuführen und eventuell notwendige Maßnahmen frühzeitig mit Ihnen zu planen, bevor die neuen Vorschriften vollumfänglich zur Anwendung kommen.