Kundenkonto

Neues Datenschutzabkommen mit den USA

Neues Datenschutzabkommen mit den USA 2023

Info für Website-Check-Kunden:
Wir beobachten derzeit die Durchführung von Zertifizierungen durch US-Unternehmen und werden unsere Datenbank und unsere Rechtstexte entsprechend für die zertifizierten Unternehmen anpassen. Sie müssen vorerst nichts tun. Wir haben den aktuellen Beschluss auf dem Schirm und melden uns bei Ihnen per Mail, wenn Anpassungen an Ihren Rechtstexten notwendig sind. Sofern Sie unser JavaScript-Snippet bzw. unser WordPress-Plugin eingebaut haben oder nutzen, aktualisieren sich Ihre Rechtstexte vollautomatisch.

Das Projekt der EU-Kommission und der USA zur Einführung eines neuen Angemessenheitsbeschlusses, welcher bisher unter dem Namen Trans Atlantic Data Privacy Framework (TADPF) bekannt war (wir berichteten: TADPF bzw. Privacy Shield 2.0 – Cloud Anwendungen und DSGVO – UPDATE – Aktueller Stand – Einschätzung von DURY LEGAL), wurde überraschend kurzfristig abgeschlossen.

 

Seit dem 11.07.2023 ist der neue Angemessenheitsbeschluss zwischen den USA und der Europäischen Union in Kraft.

Da die Verhandlungen umfangreich und die Zeit knapp bemessen war, können wir an dieser Stelle nur einen ersten groben Überblick über die neuen Regelungen des Angemessenheitsbeschlusses geben. Wir werden diesen Blogbeitrag regelmäßig aktualisieren, um weitere Informationen einzupflegen.

 

Was ist überhaupt ein Angemessenheitsbeschluss?

Mit einem Angemessenheitsbeschluss nach Art. 45 DSGVO können personenbezogene Daten frei und „sicher“ aus dem Europäischen Wirtschaftsraum (EWR), der die 27 EU-Mitgliedstaaten sowie Norwegen, Island und Liechtenstein umfasst, in ein Drittland übermittelt werden, ohne dass zusätzliche Bedingungen oder Genehmigungen erforderlich sind.

Mit anderen Worten: Die Datenübermittlung in ein Drittland kann genauso behandelt werden wie die Übermittlung personenbezogener Daten innerhalb des EWR.


Warum war dies notwendig?

Die Übermittlung personenbezogener Daten in die USA ist spätestens seit dem Schrems II-Urteil des EuGH (Urteil vom 16.07.2020 „Schrems II“ (C 311/18)) rechtlich höchst problematisch (vgl. Schrems II, Privacy Shield, EuGH – Unsicherheit bei der Datenübermittlung in die USA). An diesem Tag kippte der Europäische Gerichtshof das bis dahin geltende EU-US Privacy Shield, da das Schutzniveau in den USA als nicht ausreichend angesehen wurde.

Die vom Gesetz geforderte „wesentliche Gleichwertigkeit“ des Schutzniveaus konnte aufgrund verschiedener Aspekte wie weitreichender Auskunftsrechte, fehlender Kontroll- und Beschwerdemöglichkeiten und anderer Hürden nicht erreicht werden.


Was beinhaltet der neue Angemessenheitsbeschluss?

Der 137 Seiten umfassende Angemessenheitsbeschluss (https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework.pdf) besteht aus 223 einzelnen Begründungen und Regelungen, 4 Artikeln und 7 Anhängen.

Der Angemessenheitsbeschluss enthält insbesondere die Anforderungen, Beschränkungen und Garantien für den Zugang von US-Behörden zu personenbezogenen Daten für Zwecke der Strafverfolgung und der nationalen Sicherheit.

Der Datenschutzrahmen räumt EU-Bürgern, deren Daten an die am Datenschutzrahmen teilnehmenden Unternehmen in den USA übermittelt werden, neue Rechte ein. Dazu gehören das Recht auf Zugang zu ihren personenbezogenen Daten und das Recht auf Berichtigung oder Löschung falscher oder unrechtmäßig verarbeiteter Daten. Darüber hinaus bietet er verschiedene Möglichkeiten zur Durchsetzung dieser Rechte, einschließlich kostenloser unabhängiger Streitbeilegungsmechanismen und eines Schlichtungsgremiums.

US-Unternehmen können ihre Teilnahme am EU-US-Datenschutzrahmen zertifizieren lassen, indem sie sich zur Einhaltung bestimmter Datenschutzregeln verpflichten. Dazu gehören Grundsätze wie Zweckbindung, Datenminimierung und Aufbewahrungsfristen sowie Verpflichtungen zur Datensicherheit und zur Weitergabe von Daten an Dritte.

Der Datenschutzrahmen wird vom US-Handelsministerium verwaltet. Es bearbeitet die Zertifizierungsanträge der Unternehmen und überwacht die Einhaltung der Zertifizierungsanforderungen. Die US Federal Trade Commission ist für die Durchsetzung der Verpflichtungen zuständig, die sich für US-Unternehmen aus dem EU-US-Datenschutzrahmen ergeben.

Grundlage für die Anpassungen ist unter anderem die von Präsident Biden am 7. Oktober unterzeichnete Executive Order on ‚Enhancing Safeguards for United States Signals Intelligence Activities‘.
In diesem Zusammenhang wurden folgende Maßnahmen ergriffen (vgl. https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752):

  • Es werden verbindliche Garantien festgelegt, die den Datenzugriff der US-Nachrichtendienste auf das für den Schutz der nationalen Sicherheit erforderliche und angemessene Maß beschränken.
  • Es wird eine verstärkte Aufsicht über die Aktivitäten der US-Nachrichtendienste eingeführt, um sicherzustellen, dass die Beschränkungen für Überwachungsmaßnahmen eingehalten werden.
  • Es wird ein unabhängiger und unparteiischer Rechtsbehelfsmechanismus eingerichtet, der auch ein neues Datenschutzgericht umfasst. Dieser Mechanismus wird Beschwerden über den Zugriff auf personenbezogene Daten durch die nationalen Sicherheitsbehörden der USA prüfen und entsprechende Entscheidungen treffen.

Was bedeutet dies für mich als Unternehmen?

Die Zertifizierung nach dem neuen Data Privacy Framework (kurz DPF) ist kein Selbstläufer. Es ist also nicht so, dass Unternehmen, die bereits nach dem Privacy Shield zertifiziert sind, automatisch auch nach dem DPF zertifiziert sind. Dies ergibt sich auch aus den entsprechenden FAQ (vgl. https://www.privacyshield.gov/article?id=EU-U-S-Privacy-Shield-Program-Update). US-Unternehmen, die bereits unter dem Privacy Shield zertifiziert sind, haben nun 3 Monate Zeit, die DPF-Prinzipien umzusetzen (z.B. Anpassung der Datenschutzerklärung und der Richtlinien). Erst wenn diese umgesetzt sind, können die Datenübermittlungen auf Basis des neuen DPF erfolgen.

Eine Liste der DPF-zertifizierten Unternehmen wird in Kürze erwartet.

Aufgrund der Kürze der Zeit müssen Übermittlungen in die USA weiterhin genau geprüft und klassifiziert werden. Sind Unternehmen nicht oder noch nicht zum DPF registriert, sollten die bisher verwendeten Standardvertragsklauseln und erstellten Transfer Impact Assessments weiterhin vorgehalten werden.

Anbieter, die derzeit im EU-US Privacy Shield weiter freiwillig zertifiziert sind, können sich bei Einhaltung und Verpflichtung auf die neuen Regelungen des DPF dem DPF anschließen.

Wird der neue Datenschutzrahmen bald wieder aufgehoben?

Wie nicht anders zu erwarten hat die Organisation non of your business, der auch der Datenschutzaktivist Max Schrems angehört, eine ausführliche Stellungnahme zum neuen Entwurf veröffentlicht (https://noyb.eu/en/european-commission-gives-eu-us-data-transfers-third-round-cjeu), in der sie bereits ankündigt, gegen die neuen Regelungen vorgehen zu wollen.

Tatsächlich spricht auch diesmal einiges dafür, dass das neue Abkommen gekippt werden könnte. Bis zu einer Entscheidung können jedoch wieder einige Jahre vergehen, in denen sich Unternehmen, die personenbezogene Daten in die USA übermitteln, auf die neuen Schutzmechanismen berufen können. Mit einer Entscheidung ist nicht vor 2025 zu rechnen, da die ausführlichen Erläuterungen der Kommission viele neue Aspekte und Umsetzungen enthalten, die alle einzeln geprüft werden müssen.

Bildquelle: Bild 1463476 von Elionas2 auf pixabay

Tags :
Datenschutz, Urteile & Gesetze

Autor:

Benjamin Schmidt

Teilen

Ähnliche Beiträge

Website-Check Newsletter abonnieren

Webauftritt mit automatisierten Rechtstexten schützen!

Fehler in der Datenschutzerklärung, im Impressum oder anderen rechtlichen Texten können teure Abmahnungen nach sich ziehen. Besonders riskant ist es, wenn gesetzliche Änderungen übersehen werden und Ihre Rechtstexte veraltet sind.

  • Individuelle und abmahnsichere Rechtstexte
  • Kostenloser Update-Service
  • Selbstverständlich inkl. Haftungsübernahme
  • Riesige anwaltlich geführte Webdienste & Cookiedatenbank
  • und vieles mehr
Sparen mit dem Code: News10