Datentransfer in die USA — Trans-Atlantic-Data-Privacy-Framework

TADPF: “USA Datenschutz ist jetzt angemessen”

Am 10.07.2023 hat die EU-Kom­mis­si­on die Ange­mes­sen­heits­ent­schei­dung (Adäquanz­ent­schei­dung gem. Art. 45 DSGVO) für den siche­ren Daten­ver­kehr zwi­schen der EU und den USA, auch “Trans-Atlan­tic Data Pri­va­cy Frame­work” (TADPF) genannt, ver­ab­schie­det. Die­se drit­te Initia­ti­ve nach “Safe Har­bor” und “Pri­va­cy Shield” soll die Anfor­de­run­gen des EuGH erfül­len und die Daten­über­mitt­lung in die USA wie­der rela­tiv unbü­ro­kra­tisch ermög­li­chen. Es aber zu erwar­ten, dass auch die­ses Abkom­men wie­der vor dem EuGH lan­den wird.

Was ist das Transatlantic Data Privacy Framework?

Mit dem TADPF zwi­schen der EU und den USA wer­den neue ver­bind­li­che Garan­tien für US-ame­ri­ka­ni­sche Emp­fän­ger von Daten eingeführt.
Dazu gehö­ren die Beschrän­kung des Zugriffs auf Daten von EU-Bür­gern durch US-Geheim­diens­te sowie die Ein­rich­tung des Data Pro­tec­tion Review Court (DPRC), einer auch Nicht-US-Bür­gern zugäng­li­chen Kon­troll­in­stanz. Das DPRC kann bei Ver­stö­ßen auch die Löschung von Daten anordnen.

Das trans­ant­lantic data pri­va­cy frame­work (TADPF) wird regel­mä­ßig von der Euro­päi­schen Kom­mis­si­on gemein­sam mit Ver­tre­tern der euro­päi­schen Daten­schutz­be­hör­den und den zustän­di­gen US-Behör­den über­prüft. Die ers­te Über­prü­fung soll inner­halb eines Jah­res nach dem Inkraft­tre­ten des TADPF stattfinden.

Welche Wirkung hat das TADPF?

Es hat die Wir­kung eines Ange­mes­sen­heits­be­schlus­ses nach Art. 45 Abs. 1 DSGVO und gilt grund­sätz­lich ab sofort. Zusätz­li­che Legi­ti­ma­ti­ons­in­stru­men­te wie Stan­dard­ver­trags­klau­seln (SVK oder auch Stan­dard Con­trac­tu­al Clau­ses — SCC) sind damit für Daten­ex­por­te an US-ame­ri­ka­ni­sche Emp­fän­ger nicht mehr erfor­der­lich, da die USA wie­der als siche­res Dritt­land gel­ten. US-Unter­neh­men müs­sen jedoch eine Selbst­zer­ti­fi­zie­rung vor­neh­men und sich zur Ein­hal­tung bestimm­ter Daten­schutz­ver­pflich­tun­gen ver­pflich­ten, um von den Wir­kun­gen des TADPF pro­fi­tie­ren zu kön­nen. Die Selbst­zer­ti­fi­zie­rung gab es bereits beim Vor­gän­ger Pri­va­cy Shield und es wird eini­ge Tage dau­ern, bis die ers­ten Unter­neh­men zer­ti­fi­ziert sind. Der aktu­el­le Stand kann ab dem 17.07.2023 unter https://​www​.data​pri​va​cy​frame​work​.gov/s/ ein­ge­se­hen werden.

Was sind die wichtigsten Regeln?

Variante 1: Datenempfänger in den USA, TADPF-Zertifizierung vorhanden

Ist der Daten­emp­fän­ger in den USA ange­sie­delt und ver­fügt über eine TADPF-Zer­ti­fi­zie­rung, gel­ten die “nor­ma­len” Regeln des bereits abge­schlos­se­nen Auf­trags­ver­ar­bei­tungs­ver­tra­ges (Data Pro­ces­sing Agree­ment — DPA) nach Art. 28 DSGVO und die SCC fin­den kei­ne Anwen­dung mehr. Eine Ver­trags­an­pas­sung ist in die­sem Fall nicht erforderlich.

Variante 2: Datenempfänger in den USA, TADPF-Zertifizierung (noch nicht) vorhanden

Hat der Daten­emp­fän­ger sei­nen Sitz in den USA und unter­zieht sich aber (noch) nicht der Zer­ti­fi­zie­rung, gel­ten wei­ter­hin die bis­he­ri­gen Rege­lun­gen, also die Ver­wen­dung von Stan­dard­ver­trags­klau­seln (SCC) und die Durch­füh­rung eines Trans­fer Impact Assess­ment (TIA). Es ist jedoch wich­tig zu beach­ten, dass die Zusam­men­ar­beit mit US-ame­ri­ka­ni­schen Unter­neh­men nicht auto­ma­tisch aus­ge­schlos­sen ist, nur weil kei­ne Selbst­zer­ti­fi­zie­rung vor­ge­nom­men wurde.

Was müssen Unternehmen jetzt unternehmen?

Es emp­fiehlt sich des­halb, zunächst abzu­war­ten und bei neu­en Ver­trä­gen zu prü­fen, ob der Daten­emp­fän­ger bereits zer­ti­fi­ziert ist. Nur wenn dies der Fall ist, grei­fen die neu­en Regelungen.

Bei bestehen­den Ver­trä­gen soll­te geprüft wer­den, ob eine Anpas­sung erfor­der­lich ist, wenn der Daten­emp­fän­ger nach TADPF zer­ti­fi­ziert ist. Eine Anpas­sung ist häu­fig nicht erfor­der­lich, da die SCC nur dann gel­ten, wenn der Daten­emp­fän­ger in einem Land ohne Ange­mes­sen­heits­be­schluss ansäs­sig ist.

Durch die Ein­füh­rung des TADPF kön­nen Anpas­sun­gen in den Daten­schutz­hin­wei­sen der Web­site oder ande­rer Pro­zes­se — z.B. bei der Nut­zung von Cloud-Pro­duk­ten usw. — (Art. 13, 14 DSGVO), Auf­trags­ver­ar­bei­tungs­ver­trä­gen, Daten­schutz-Fol­gen­ab­schät­zun­gen und im Ver­zeich­nis nach Art. 30 DSGVO (Ver­ar­bei­tungs­ver­zeich­nis) erfor­der­lich werden.

Hinweisgeberschutzgesetz

Hinweisgeberschutzgesetz ab 02.07.2023

Das Hinweisgeberschutzgesetz (HinSchG): Umfassender Schutz für Hinweisgeber

Das “Gesetz für einen bes­se­ren Schutz hin­weis­ge­ben­der Per­so­nen sowie zur Umset­zung der Richt­li­nie zum Schutz von Per­so­nen, die Ver­stö­ße gegen das Uni­ons­recht mel­den” (Hin­weis­ge­ber­schutz­ge­setz, HinSchG) tritt am 02.07.2023 in Kraft. Es stellt einen wich­ti­ge Bau­stein im deut­schen Recht zum Schutz von Hin­weis­ge­bern dar.

Hin­weis­ge­ber sind Per­so­nen, die Miss­stän­de oder rechts­wid­ri­ge Hand­lun­gen in Unter­neh­men oder öffent­li­chen Ein­rich­tun­gen auf­de­cken. Das HinSchG bie­tet ihnen Rechts­si­cher­heit bei der Offen­le­gung sol­cher Informationen.

Die­ser Arti­kel erläu­tert die wich­tigs­ten Aspek­te des Hinweisgeberschutzgesetzes.

Um was geht es konrekt?

Das am 02.072023 in Kraft getre­te­ne Hin­weis­ge­ber­schutz­ge­setz hat zum Ziel, Hin­weis­ge­ber vor beruf­li­chen Nach­tei­len zu schüt­zen und ihnen gleich­zei­tig die Mög­lich­keit zu geben, Ver­stö­ße gegen Geset­ze und ethi­sche Stan­dards zu mel­den. Es schafft einen kla­ren Rah­men für den Umgang mit Hin­wei­sen sowohl in pri­va­ten Unter­neh­men als auch im öffent­li­chen Sektor.

Ein zen­tra­ler Punkt des HinSchG ist die Gewähr­leis­tung von Anony­mi­tät und Ver­trau­lich­keit für Hin­weis­ge­ber. Wer einen Miss­stand mel­den möch­te, kann dies ohne Angst vor Repres­sa­li­en oder Ver­gel­tungs­maß­nah­men tun. Das Gesetz ver­bie­tet Arbeit­ge­bern, Whist­le­b­lower zu benach­tei­li­gen oder zu sank­tio­nie­ren. Wird ein Whist­le­b­lower den­noch belästigt

Hinweisgeber (Whistleblower) Nach Dem Hinweisgeberschutzgesetzt Von Sanktionierungen Geschützt

, kann er recht­li­che Schrit­te ein­lei­ten und Scha­dens­er­satz­an­sprü­che gel­tend machen.

Das HinSchG regelt auch den Umgang mit den gemel­de­ten Hin­wei­sen. Unter­neh­men sind ver­pflich­tet, ein inter­nes Hin­weis­ge­ber­sys­tem ein­zu­rich­ten, das den Daten­schutz gewähr­leis­tet. Die Iden­ti­tät des Hin­weis­ge­bers muss ver­trau­lich behan­delt wer­den, es sei denn, der Hin­weis­ge­ber stimmt der Offen­le­gung sei­ner Iden­ti­tät aus­drück­lich zu. Die­ser Schutz der Anony­mi­tät för­dert das Ver­trau­en der Hin­weis­ge­ber und ermu­tigt sie, wich­ti­ge Infor­ma­tio­nen weiterzugeben.

Das HinSchG gilt für eine Viel­zahl von Ver­stö­ßen, dar­un­ter Kor­rup­ti­on, Geld­wä­sche, Umwelt­ver­schmut­zung und Ver­stö­ße gegen das Arbeits­recht. Es stärkt die Inte­gri­tät von Unter­neh­men und Orga­ni­sa­tio­nen, indem es die Offen­le­gung von Fehl­ver­hal­ten för­dert und dazu bei­trägt, Scha­den von der Gesell­schaft abzuwenden.

Mit der Ein­füh­rung des Hin­weis­ge­ber­schutz­ge­set­zes schließt Deutsch­land zu ande­ren euro­päi­schen Län­dern auf, die ähn­li­che Geset­ze ein­ge­führt haben. Es trägt zu einer trans­pa­ren­ten und inte­gren Unter­neh­mens­kul­tur bei und stärkt das Ver­trau­en der Öffent­lich­keit in Wirt­schaft und Verwaltung.

Ins­ge­samt bie­tet das Hin­weis­ge­ber­schutz­ge­setz (HinSchG) einen wich­ti­gen recht­li­chen Rah­men für den Schutz von Hin­weis­ge­bern in Deutsch­land. Es schafft Sicher­heit, Anony­mi­tät und Anrei­ze für die­je­ni­gen, die Miss­stän­de mel­den wol­len. Das Gesetz trägt zur Inte­gri­tät von Unter­neh­men und zur Wah­rung ethi­scher Stan­dards bei und stärkt das Ver­trau­en der Öffentlichkeit.

Was ist wichtig?

  • Bis zum 2. Juli 2023 sind Unter­neh­men mit 250 oder mehr Mit­ar­bei­ten­den ver­pflich­tet, siche­re Hin­weis­ge­ber­sys­te­me ein­zu­füh­ren. 
  • Unter­neh­men mit 50 bis 249 Mit­ar­bei­ten­den haben eine Über­gangs­zeit bis zum 17. Dezem­ber 2023. Die­se Vor­schrif­ten gel­ten auch für Unter­neh­men des öffent­li­chen Sek­tors sowie für Städ­te und Kom­mu­nen mit mehr als 10.000 Ein­woh­ne­rin­nen und Einwohnern.
  • Das Ver­fah­ren zur Mel­dungs­ab­ga­be muss den Hin­weis­ge­bern ver­schie­de­ne Mög­lich­kei­ten bie­ten: münd­lich, schrift­lich und auf Wunsch auch per­sön­lich. 
  • Inner­halb von 7 Tagen nach Ein­gang der Mel­dung muss die inter­ne Mel­de­stel­le den Hin­weis­ge­ber dar­über infor­mie­ren, dass die Mel­dung ein­ge­gan­gen ist.
  • Das Hin­weis­ge­ber­schutz­ge­setz gilt in geschütz­ten Anwen­dungs­be­rei­chen, dar­un­ter EU-Recht und natio­na­les Recht, wenn es sich um straf­be­wehr­te (Straf­tat) oder buß­geld­be­wehr­te (Ord­nungs­wid­rig­keit) Ver­ge­hen handelt.
  • Die Mel­de­stel­le hat inner­halb von drei Mona­ten nach Ein­gang der Mel­dung die Pflicht, die hin­weis­ge­ben­de Per­son über die ergrif­fe­nen Maß­nah­men zu infor­mie­ren. Dies kann bei­spiels­wei­se die Ein­lei­tung inter­ner Unter­su­chun­gen oder die Wei­ter­ga­be der Mel­dung an die zustän­di­ge Behör­de umfassen.
  • Unter­neh­men müs­sen die Iden­ti­tät der Hin­weis­ge­ber schüt­zen und die Vor­ga­ben der Daten­schutz-Grund­ver­ord­nung (DSGVO) ein­hal­ten. Zusätz­lich müs­sen sie Infor­ma­tio­nen über die zustän­di­gen Auf­sichts­be­hör­den bereithalten.