Juli 2023
Workday begrüßt die Verabschiedung des neuen EU-US-Datenschutzrahmens (EU-US Data Privacy Framework, DPF), der Unternehmen mehr Sicherheit für die rechtskonforme Übermittlung personenbezogener Daten aus Europa in die Vereinigten Staaten bietet. Workday ist ein starker Befürworter von zwischenstaatlichen Übereinkommen, die den grenzüberschreitenden Datenfluss erleichtern. Darüber hinaus schätzen wir die jahrelangen Bemühungen der Vereinigten Staaten und der Europäischen Kommission, den sicheren Datenfluss über den Atlantik auch weiterhin zu gewährleisten. Nachdem die Verpflichtungen der US-Regierung im Rahmen des DPF nun erfüllt sindund der Angemessenheitsbeschluss der Europäischen Kommission finalisiert ist, haben sich politische Entscheidungsträger auf beiden Seiten des Atlantiks auf neue Schutzmaßnahmen geeinigt, um die Bedenken des Europäischen Gerichtshofs (EuGH) im „Schrems II“-Urteil vom Juli 2020 auszuräumen.
Damit unsere Kunden besser verstehen, was das für sie bedeutet, möchte ich einige häufig gestellte Fragen zum jüngst verabschiedeten DPF beantworten.
Was ist seit der Veröffentlichung der Executive Order (EO) geschehen?
Zur Erinnerung: Die wichtigsten, im Schrems-II-Urteil vom EuGH behandelten Fragen bezogen sich auf den Datenzugriff durch US-Regierungsbehörden. Im vergangenen Jahr hat die US-Regierung signifikante Änderungen daran vorgenommen, wie US-Geheimdienste auf personenbezogene Daten aus Europa zugreifen können. Sie hat entsprechende Strukturen eingerichtet, um Nicht-US-Personen Anspruch auf Rechtsbehelf zu gewähren, wenn diese glauben, dass unrechtmäßig auf ihre Daten zugegriffen wurde. Das Justizministerium und das Office of the Director of National Intelligence haben diese Verpflichtungen gemäß der Executive Order von Präsident Biden zu transatlantischen Datenübermittlungen umgesetzt. Im Einzelnen heißt das: Die US-Geheimdienste haben die neuen Richtlinien und Verfahrenübernommen, der Attorney General hat den Europäischen Wirtschaftsraum offiziell als qualifizierten Staat ausgewiesen, der Zugang zum Rechtsbehelfsmechanismus des DPF hat, und ein neuer Data Protection Review Court gemäß § 511 wurde eingerichtet. Weiter unten erfahren Sie mehr über den Standpunkt von Workday zu dieser Executive Order.
Welche Auswirkungen hat der DPF für Workday-Kunden?
Der Angemessenheitsbeschluss bietet unseren Kunden mehr Sicherheit, dass personenbezogene Daten aus Europa rechtmäßig in die Vereinigten Staaten übermittelt werden können. Seit 2020 unterstützt Workday seine Kunden erfolgreich mit anderen Datentransfer-Mechanismen, wie z. B. Standardvertragsklauseln und verbindlichen unternehmensinternen Regeln für Datenverarbeiter. Während dieser Zeit haben wir auch ein detailliertes Datenblatt zum Transfer Impact Assessment, vorgelegt, um Kunden bei der Bewertung des Risikos einer Datenübermittlung zu unterstützen. Wir werden diese rechtskonformen Datenübertragungsmechanismen weiterhin anbieten und aktualisieren unser Datenblatt zum Transfer Impact Assessment, um die jüngsten Änderungen im US-Rechtssystem zu berücksichtigen. Selbst für Unternehmen, die den neuen DPF nicht als Datenübertragungsmechanismus einsetzen, gelten im Rahmen der Datenschutz-Grundverordnung die neuen Schutzmaßnahmen der US-Regierung für alle Transfers personenbezogener Daten an Unternehmen in den USA, einschließlich Transfers, bei denen Standardvertragsklauseln und verbindliche unternehmensinterne Regeln zur Anwendung kommen.
Darüber hinaus haben wir unsere Zertifizierung nach dem Privacy Shield Frameworkbeibehalten, sodass wir innerhalb kürzester Zeit auf den DPF umstellen können. Wir verpflichten uns außerdem, bei Anträgen der Strafverfolgungsbehörden auf Datenzugriff Transparenz zu gewährleisten und regelmäßige Neufassungen unseres Transparenzberichts zu veröffentlichen.
Wird es ein Schrems-III-Urteil geben?
Wie beim Safe Harbor Framework und dem Privacy Shield Framework werden wir wahrscheinlich auch beim DPF eine Anfechtung vor europäischen Gerichten erleben. Auf der Grundlage der beispiellosen Änderungen durch die US-Regierung, um die Schutzmechanismen beim Zugriff auf personenbezogene Daten aus Europa durch US-Regierungsbehörden zu verbessern und Nicht-US-Personen Anspruch auf Rechtsbehelf zu gewähren, ist Workday davon überzeugt, dass der DPF das Ziel der Regierungen beider Seiten, eine dauerhafte und zuverlässige Rechtsgrundlage für den transatlantischen Datenverkehr zu schaffen, erfolgreich erfüllt.
Oktober 2022
Hier bei Workday begrüßen wir die mit Spannung erwartete Executive Order (EO) zu transatlantischen Datentransfers, die am 7. Oktober von Präsident Joe Biden erlassen wurde. Mit der EO soll das Abkommen zwischen der Europäischen Union und den Vereinigten Staaten umgesetzt werden, Fragen des Zugriffs durch Regierungsbehörden zu klären. Diese standen im Mittelpunkt des Rechtsfalls „Schrems II“, durch den der Privacy Shield als Datentransfermechanismus für ungültig erklärt wurde. Der reibungslose Datentransfer zwischen den Vereinigten Staaten und der Europäischen Union ist für die Förderung der digitalen Wirtschaft entscheidend und ermöglicht es multinationalen Unternehmen, ihre globalen Belegschaften auf effektive Weise zu verwalten.
Die neue EO ist ein positiver Schritt in Richtung eines dauerhaften freien Transfers personenbezogener Daten aus der Europäischen Union, einschließlich Mitarbeiterdaten, in die Vereinigten Staaten. Es gibt allerdings eine Menge Informationen zu verarbeiten. Daher möchte ich gerne näher erläutern, was genau das bedeutet und wie sich dies sich in Zukunft auf unsere Kunden auswirken wird.
Welche Bedeutung hat die EO?
Vor einigen Monaten kündigten US-Präsident Joe Biden und die Präsidentin der Europäischen Kommission, Ursula von der Leyen, eine politische Vereinbarung namens EU-US Data Privacy Framework (DPF) an, die den freien Transfer personenbezogener Daten aus der EU in die Vereinigten Staaten stärken soll. Die kürzlich veröffentlichte EO formalisiert die Verpflichtungen der USA im Rahmen dieses Abkommens, indem es EU-Bürgern ermöglicht, formelle Beschwerden einzureichen, wenn sie der Ansicht sind, dass ihre personenbezogenen Daten von der US-Regierung aus Gründen der nationalen Sicherheit unrechtmäßig erfasst wurden. Ferner sieht sie Schutzmechanismen vor, um zu gewährleisten, dass die Tätigkeiten der US-Nachrichtendienste zum Erreichen ihrer Sicherheitsziele notwendig und verhältnismäßig sind.