+49 (55 03) 9 15 96 48 sorge@DatCon.de

Data Privacy Framework – Datentransfer in die USA

Erst Safe-Harbour, dann der Privacy Shield und jetzt das Data Privacy Framework (DPF).
Am 10.07.2023 wurde das neue transatlantische Abkommen von den USA und der EU unterschrieben.
Mit dem DPF ist die Nutzung von Tools und Software, die personenbezogene Daten in den USA verarbeiten, wie bspw.
Tracking-/ Analytik- oder Marketing-Tools, wieder zulässig. Voraussetzung ist, dass sich die jeweiligen US-Unternehmen
zertifiziert haben. Diesen Unternehmen wird eine „angemessene“ Datensicherheit bzw. ein ausreichender Datenschutz
unterstellt.
Was müssen US-Unternehmen tun?
• Selbstzertifizierung beim US-Department of Commerce vornehmen
• Jährliche Re-Zertifizierung durchführen
• Betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten informieren
Die folgenden wichtigsten Dienstleister bzw. Software ist/sind Stand Juli 2023 bereits zertifiziert:
Software/Tool Unternehmen
ActiveCampaign ActiveCampaign
Adobe Typekit Webfonts Adobe Inc.
Amazon Web Services (AWS) Amazon.com, Inc.
Amazon Cloudfront CND Amazon.com, Inc.
Cloudflare Cloudflare, Inc.
Google Forms Google LLC
Google Maps Google LLC
Google Recaptcha Google LLC
YouTube Google LLC
Google Ads Google LLC
Google Tag Manager Google LLC
Google Analytics Google LLC
Google AdSense Google LLC
Google Cloud CND Google LLC
Google Calendar Google LLC
Google Double Click Google LLC
Google Fonts Google LLC
HubSpot HubSpot, Inc.
Mailchimp Intuit Inc.
Instagram Meta Platforms Inc.
WhatsApp Meta Platforms Inc.
Facebook Pixel Meta Platforms Inc.
Facebook Custom Audiences Meta Platforms Inc.
Microsoft Teams Microsoft Corporation
OneDrive Microsoft Corporation
Skype for Business Microsoft Corporation
Squarespace Squarespace
Weitere Dienstleister finden Sie unter:
https://www.dataprivacyframework.gov/s/participant-search
Was passiert mit den Standardvertragsklauseln und dem Transfer Impact Assessment (TIA)?
Die Unternehmen mussten in der Vergangenheit die von der Europäischen Union bereitgestellten Standardvertragsklauseln
(SCC) zwingend abschließen und im Rahmen eines Transfer Impact Assessments (TIA) eine eigene Bewertung des
Schutzniveaus für Datenübermittlung vornehmen. Das ist jetzt in der Regel nicht mehr der Fall.
Eine Ausnahme ist dann gegeben, wenn der Datenempfänger seinen Sitz in den USA hat und sich nicht einer Zertifizierung
nach DPF unterzieht. Auch sollten nicht kategorisch Risikoanalysen, wie es bspw. das TIA (Transfer Impact Assesment)
es ist, ausgeschlossen werden.
ChatGPT und der Arbeitsplatz
Immer mehr Unternehmen setzen KI-Tools, wie ChatGPT ein. Ja, der Einsatz von künstlicher Intelligenz bietet zahlreiche
Chancen und Möglichkeiten. Aber auf keinen Fall dürfen bzw. sollten die Risiken unbeachtet bleiben. Die Unternehmen
sollten den Einsatz genau überlegen und Vor- und Nachteile abwägen.
Gibt es Risiken? JA!
Urheberrecht
Abschnitt 3 a der ChatGPT-Nutzungsbedingungen zeigt auf, dass alle Rechte an generierten Inhalten auf den Nutzer
übertragen werden. Gem. der aktuellen deutschen Rechtsprechung wird allerdings die Auffassung vertreten, dass nur ein
Mensch Schöpfer eines urheberrechtlich geschützten Werks sein kann. Es besteht somit das Risiko, dass Unternehmen
(unbewusst) Nutzungsrechte an eigenen, urheberrechtlich geschützten Inhalten gewähren bzw. Inhalte nutzen, ohne eine
Berechtigung hierfür zu haben.
Geschäftsgeheimnisse
Ein nicht zu unterschätzendes Risiko! Eigentlich hat doch jedes Unternehmen Geschäftsgeheimnisse. Wird nun mit diesen
Geheimnissen zu sorglos umgegangen, kann es für ein Unternehmen einen großen Schaden bedeuten.
Gem. den ChatGPT-Nutzungsbedingungen könnte dann diese Informationen weiter genutzt werden, wenn ein solches
Geschäftsgeheimnis über ein solches Tool verbreitet wird.
Nicht zu vergessen sind mögliche Konventionalstrafen, die dann zum Tragen kommen, wenn ein Unternehmen andere
Geschäftsgeheimnisse herausgibt und sich auf einen Schutz dieser Informationen verpflichtet hat.
Datenschutz
Und auch hier wieder! Ein Problem stellen bspw. die Betroffenenrechte (u.a. Auskunft über und Löschung von erhobenen
Daten) dar. Zudem gibt es Probleme bei der Nachvollziehbarkeit, welche Daten zu welchen Zwecken, wie lange und auf
welcher Rechtsgrundlage verarbeitet werden. Die Anforderungen der DSGVO können nicht umgesetzt werden, was
bedeutet, dass es hier Bußgeld- und/oder Sanktionsrisiken gibt.
Gibt es Vorteile, wenn die Informationspflicht umgesetzt wird?
Ja, diese Anforderung der DSGVO ist lästig. Aber auch wichtig.
Und ja, ein Unternehmen hat Vorteile, wenn sie die geforderten Informationen rechtzeitig an die Betroffenen übermittelt.
• Vermeidung von Bußgeldern oder Sanktionen
• Aufbau bzw. Stärkung von Vertrauen bei Betroffenen
• Mehr Transparenz. Weniger Diskussionsstoff.
Natürlich kann man die Unternehmen, wie (auch) in anderen Bereichen gut verstehen. Sie haben mehr Arbeit, wenn sie
alles dokumentieren und transparent aufstellen. Aber, es ist halt so. Auch, wenn jedes Unternehmen die Umsetzung und
Beachtung von Gesetzen und Richtlinien selbst bestimmen kann und somit die möglichen Risiken tragen muss. Aber es ist
nicht zu empfehlen.
Warum? Es gibt noch einen weiteren Grund zur Beachtung. Die Unternehmen befassen sich mit der Verarbeitung und
stellen vielleicht fest, dass ggf. zu viele Daten verarbeitet werden. Oder der Prozess nicht optimal ist. Oder unberechtigte
Personen Daten einsehen können.
Cyberattacken aus Juli 2023 in Deutschland (Textliche Auszüge aus www.dsgvo-portal.de)
Vorab, es geht hier nicht ums „Angstmachen“. Vielmehr ist das Ziel die Sensibilisierung
→ „So etwas ist ja auch bei uns vorgekommen.“
• Forteil GmbH
Schwachstelle in der Schufa-App erlaubt Zugriff durch Dritte auf Bonitätsdaten
• Chemnitzer Kunstsammlungen
Cyberangriff legt Website lahm
• Wildeboer IT Systeme
Ransomware-Angriff auf Komponentenhersteller der Gebäudetechnik
• ITZ Bund
Stromausfall sorgt für längere Ausfallzeiten
• Trinkwasserverband Stader Land
Ransomeware-Angriff
Europäische Bußgelder im Juli 2023? (Textliche Auszüge von Dr-Datenschutz)
Es ist nur eine kleine Übersicht! Aber es sind praxisnahe Fälle, die ggf. auch bei Ihnen auftreten können.
• Millionenbußgeld wegen Google Analytics
Behörde: Datainspektionen (IMY)
Branche: Telekommunikationsdienstleister und Online-Handel, Verstoß: Art. 44 DSGVO
Bußgeld: 1.017.156 Euro + 25.428 Euro
• Datenschutz auch für Mafia-Bosse
Behörde: Garante per la protezione dei dati personali
Branche: Online-Zeitung, Verstoß: Art. 5 Abs. 1 lit. a, c DSGVO, Art. 9 DSGVO, Art. 37 codice della privacy
Bußgeld: 15.000 Euro
• Übermittlung sensibler Daten über einfache E-Mail
Behörde: La Agencia Española de Protección de Datos (AEPD)
Branche: Banken, Verstoß: Art. 25 DSGVO, Art. 32 DSGVO
Bußgeld: 2.500.000 Euro
• Fehlerhafte Angaben zur Verantwortlichkeit
Behörde: Garante per la protezione dei dati personali
Branche: App-Betreiber, Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art. 13 DSGVO
Bußgeld: 1.000.000 Euro
• Unzulässige Mitarbeiterüberwachung durch GPS und Kamera
Behörde: Garante per la protezione dei dati personali
Branche: Büroausstatter, Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art. 5 Abs. 1 lit. c DSGVO, Art. 9 DSGVO, Art. 13
DSGVO, Art. 88 DSGVO, Art. 114 codice della privacy
Bußgeld: 20.000 Euro
Fazit?
Fakt ist, dass KI aus unserer heutigen Welt nicht mehr wegzudenken ist. Im Gegenteil, immer mehr Prozesse werden durch
KI unterstützt. Aber sowohl Privatpersonen als auch Unternehmen sollten sich genau überlegen ob und in welchem Umfang
diese Technik zum Einsatz kommt. Seien wir doch mal ehrlich, in diesem Bereich befinden wir uns noch in der Forschung
in einer „neuen“ Welt. Die Nichtbeachtung von Rechten, wie bspw. das Urheberrecht, ist eine Sache, die Gefährdung „von
Mensch und Leben“ ist eine ganz andere. Hier gilt es besonders gut zu überlegen.
Oder was denken Sie über die neuen und weiteren Cyberrisken, die durch KI da sind?
Ach ja, das Data Privacy Framework. Dies ist auch so eine Sache.
Klasse, es wird ruhiger. So die nachvollziehbare Meinung von vielen Unternehmen. Aber man sollte sich nichts vormachen.
Es ist nur eine Frage der Zeit bis der EuGH auch hier (wieder) einschreitet. Auch hat bereits Max Schrems (derjenige, der
den Vorgänger, den Privacy Shield kippen ließ) aktiver wird. U.a. er sieht nach wie vor keine datenschutzkonforme
Umsetzung der DSGVO im Rahmen eines transatlantischen Datenverkehrs,
Bedeutet? Leider müssen Unternehmen es hinnehmen, dass ständig textliche und informative Anpassungen erfolgen, wenn
sie nicht Bußgeld- und/oder Abmahnrisiken riskieren möchten.
Es bleibt spannend!
Sie haben Fragen? Melden Sie sich bitte bei uns! Es bleibt spannend!

468