Datenschutz-Aufsicht Dänemark: Ausstiegsstrategie von US-Anbietern vorhalten
26.02.2025
Zusammenfassung
Auf unsere Rückfrage bestätigt die dänische Datenschutzbehörde die Position, dass es wichtig sei, angesichts der aktuellen Fragen hinsichtlich der Besetzung des Privacy and Civil Liberties Oversight Board, eine Ausstiegsstrategie zu haben, wenn man US-Dienste für die Verarbeitung personenbezogener Daten nutzt.
8 Minuten Lesezeit
Die Datenschutz-Aufsichtsbehörde von Dänemark empfiehlt, dass Unternehmen, welche US-Anbieter für die Verarbeitung personenbezogener Daten nutzen, eine entsprechende Ausstiegsstrategie vorhalten sollten.
Vorangegangen war ein Interview des Behördenmitarbeiters Allan Frank auf der dänischen Webseite Version2. Anlass sind Veränderungen auf Seiten der US-Administration in der Besetzung des Privacy and Civil Liberties Oversight Board; dieser bildet u.a. die Grundlage der Angemessenheitsentscheidung der Europäischen Kommission im Hinblick auf Datentransfers in die USA. Auch die Europaabgeordnete Raquel García Hermida-Van Der Walle hat sich diesbezüglich an die Europäische Kommission gewandt.
Die dänische Datenschutz-Aufsichtsbehörde hat auf unsere Rückfrage nun bestätigt, dass die Aufsichtsbehörde dem Grundsatz nach die im Interview geäußerten Aussagen teilt.
Die Behörde schreibt uns:
“Die dänische Datenschutzbehörde kann Ihnen mitteilen, dass sie keine offiziellen Verlautbarungen oder Ähnliches über mögliche Risiken für den EU-US-Datenschutzrahmen herausgegeben hat.
Allan Frank, Jurist und IT-Sicherheitsspezialist bei der dänischen Datenschutzbehörde, hat sich jedoch gegenüber den Nachrichtenmedien Version2 zu diesem Thema geäußert. Der Artikel kann hier nachgelesen werden. Die dänische Datenschutzbehörde stimmt im Allgemeinen mit Allan Franks Aussage überein, dass es wichtig ist, eine Ausstiegsstrategie zu haben, wenn man US-Dienste für die Verarbeitung personenbezogener Daten nutzt.
In diesem Zusammenhang betont die dänische Datenschutzbehörde, dass nur die Europäische Kommission Angemessenheitsentscheidungen widerrufen oder aussetzen kann. Die Übermittlung personenbezogener Daten in die Vereinigten Staaten auf der Grundlage des EU-US-Datenschutzrahmens ist daher rechtmäßig, solange die Europäische Kommission den Angemessenheitsbeschluss nicht aufgehoben oder ausgesetzt hat.”
[Anmerkung: auch der Europäische Gerichtshof könnte die Angemessenheits-Entscheidung der Europäischen Kommission aufheben.]
Im Original:
“Datatilsynet kan oplyse, at tilsynet ikke har udstedt officielle meddelelser eller lignende om potentielle risici for EU-US Data Privacy Framework.
Allan Frank, jurist og it-sikkerhedsspecialist i Datatilsynet, har dog udtalt sig om emnet til nyhedsmediet Version2. Artiklen kan læses her. Datatilsynet kan generelt tilslutte sig Allan Franks udtalelse om, at det er vigtigt at have en exit-strategi, når man anvender amerikanske tjenester i forbindelse med behandling af personoplysninger.
Datatilsynet fremhæver i den forbindelse, at det udelukkende er Europa-Kommissionen, der kan ophæve eller suspendere tilstrækkelighedsafgørelser. Overførsler af personoplysninger til USA, på grundlag af EU-US Data Privacy Framework, er således lovlige, så længe som Kommissionen ikke har ophævet eller suspenderet tilstrækkelighedsafgørelsen.”
Eine Liste mit europäischen Alternativ-Angeboten findet sich hier. Allerdings dürfte es vielfach unmöglich sein, sich zeitnah von US-Anbietern zu lösen.
In einer Replik von Vertretern dänischer Kommunen auf den Beitrag fasste ein IT-Mitarbeiter einer dänischen Kommune die Lage wie folgt zusammen: “Es wird drei bis fünf Jahre dauern, bis wir einen richtigen Plan B haben. Und das wird sehr kostspielig sein.”
