12.07.2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.

Ihre ISiCO-Expertin für das Thema:
Jacqueline Neiazy
Director Datenschutz

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der Datenschutz-Grundverordnung (DSGVO) für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können. Dies gilt jedoch nur für den Fall, dass sich das jeweilige US-Unternehmen, an das Daten übermittelt werden sollen, auch tatsächlich dem EU-US Data Privacy Framework angeschlossen hat. Der Beschluss folgt dem Erlass der Executive Order 14086 und der Umsetzung verbindlicher Garantien durch die USA, um die den Schrems-Urteilen zugrunde liegenden Datenschutzbedenken auszuräumen. Der Beschluss sieht neben neuen Richtlinien und Vorgaben zur Beschränkung der Nutzung von personenbezogenen Daten durch US-Geheimdienste auch einen Rechtsbehelfsmechanismus für Betroffene vor und trat mit der Verkündung am 10. Juli in Kraft. Der neue EU-US-Datenschutzrahmen gewährleiste nach Ansicht der Europäischen Kommission den sicheren Transfer von Daten von Bürgerinnen und Bürgern der EU und die Rechtssicherheit für Unternehmen auf beiden Seiten des Atlantiks.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Was ist die Summe aus 7 und 7?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

In diesem Artikel beantworten wir die wichtigsten Fragen zum Angemessenheitsbeschluss für einen sicheren Datenverkehr zwischen der EU und den USA. Darüber hinaus unterstützen Sie unsere Expertinnen und Experten dabei, die notwendigen Maßnahmen zu ergreifen, um den neuen Anforderungen gerecht zu werden. Gemeinsam stellen wir sicher, dass Ihr Datentransfer in die USA den gesetzlichen Anforderungen entspricht.

Was ist der EU-US-Datenschutzrahmen?

Der EU-US-Datenschutzrahmen ist ein Regelwerk, das die Übermittlung personenbezogener Daten aus der EU in die USA regelt. Er stellt sicher, dass die USA ein angemessenes Datenschutzniveau bieten, das mit dem der EU vergleichbar ist. Der EU-US-Datenschutzrahmen ermöglicht die sichere Übermittlung von Daten an teilnehmende US-Unternehmen, ohne dass zusätzliche Datenschutzgarantien im Sinne von Art. 46 DSGVO (z.B. Abschluss von Standarddatenschutzklauseln) eingeführt werden müssen.

Wann tritt der Angemessenheitsbeschluss für den EU-US Datenschutzrahmen in Kraft?

Der Angemessenheitsbeschluss wurde am 10. Juli 2023 angenommen und ist am gleichen Tag in Kraft getreten. Es gibt keine zeitliche Befristung, aber die Kommission wird die relevanten Entwicklungen in den Vereinigten Staaten kontinuierlich beobachten und den Angemessenheitsbeschluss regelmäßig überprüfen.

Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses stattfinden, um festzustellen, ob alle relevanten Elemente des EU-US-Datenschutzrahmens in der Praxis wirksam funktionieren. Abhängig von den Ergebnissen dieser ersten Überprüfung wird die Kommission in Absprache mit den EU-Mitgliedstaaten und den Datenschutzbehörden über die Häufigkeit künftiger Überprüfungen entscheiden, die mindestens alle vier Jahre stattfinden sollen.,

Angemessenheitsbeschlüsse können angepasst oder sogar zurückgezogen werden, wenn etwa rechtliche oder politische Entwicklungen das Schutzniveau im Drittland beinträchtigen.

Was ist ein Angemessenheitsbeschluss?

Ein Angemessenheitsbeschluss ist eines der Instrumente, die die DSGVO für die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder außerhalb des EWR (sogenannte Drittländer) vorsieht, die nach Auffassung der Kommission ein Datenschutzniveau bieten, das mit dem der Europäischen Union vergleichbar ist.

Nach dem Angemessenheitsbeschluss können personenbezogene Daten ohne weitere Bedingungen oder Genehmigungen frei und sicher aus dem EWR, der die 27 EU-Mitgliedstaaten sowie Norwegen, Island und Liechtenstein umfasst, in ein Drittland übermittelt werden. Mit anderen Worten: Datenübermittlungen in ein Drittland aufgrund eines Angemessenheitsbeschlusses können genauso behandelt werden wie Datenübermittlungen innerhalb des EWR.

Der Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen gilt für Datenübermittlungen von jeder öffentlichen oder privaten Stelle im EWR an US-Unternehmen, die am EU-US-Datenschutzrahmen teilnehmen.

Nach welchen Kriterien wird die Angemessenheit beurteilt?

Die Angemessenheit setzt nicht voraus, dass das Datenschutzniveau des Drittlands mit dem der EU identisch ist, sondern beruht auf dem Kriterium der „wesentlichen Gleichwertigkeit“. Dies beinhaltet eine umfassende Bewertung der Rechtslage eines Landes, sowohl in Bezug auf den Schutz personenbezogener Daten als auch in Bezug auf die verfügbaren Aufsichts- und Rechtsbehelfsmechanismen.

Die DSGVO sieht in Art. 45 verschiedene Kriterien vor, die bei dieser Bewertung berücksichtigt werden müssen, wie z. B. das Vorhandensein grundlegender Datenschutzprinzipien, individueller Rechte, einer unabhängigen Aufsicht und wirksamer Rechtsbehelfe.

Wie gewährleistet der EU-US Datenschutzrahmen den Schutz personenbezogener Daten?

Der EU-US-Datenschutzrahmen enthält neue verbindliche Garantien, um Datenschutzbedenken auszuräumen. Dazu gehört unter anderem die Beschränkung des Zugriffs der US-Geheimdienste auf EU-Daten auf das notwendige und verhältnismäßige Maß. Darüber hinaus wird die Einrichtung eines unabhängigen Datenschutzüberprüfungsgremiums (DPRC) gewährleistet, welches die Einhaltung der Datenschutzvorschriften überprüft und bei Verstößen die erforderlichen Abhilfemaßnahmen (wie bspw. eine Datenlöschung) anordnen kann.

Was müssen US-Unternehmen tun, um sich dem EU-US-Datenschutzrahmen anzuschließen?

US-Unternehmen können dem EU-US-Datenschutzrahmen beitreten, indem sie sich zur Einhaltung detaillierter Datenschutzverpflichtungen verpflichten. Diese sind für US-Unternehmen in Annex I des EU-US-Datenschutzrahmen geregelt. Dazu gehören unter anderem Verpflichtungen wie die Löschung personenbezogener Daten, wenn sie für den Zweck ihrer Erhebung nicht mehr benötigt werden, und die Gewährleistung des Schutzes von Daten, die an Dritte weitergegeben werden. Ferner müssen sie die Grundsätze der Datenverarbeitung, wie sie auch in Art. 5 DSGVO enthalten sind, einhalten und mit den europäischen Datenschutzaufsichtsbehörden kooperieren.

Ihre Strategie für den besten Schutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Termin vereinbaren

Was ist mit Unternehmen, die sich nicht dem EU-US-Datenschutzrahmen unterwerfen?

Auch Datenübermittlungen an US-Unternehmen, die sich nicht dem EU-US-Datenschutzrahmen unterworfen haben, den Datentransfer aber mittels einer geeigneten Garantie aus Art. 46 DSGVO absichern, profitieren von dem Angemessenheitsbeschluss. Denn alle Maßnahmen (inkl. der Rechtsbehelfe) der Executive Order 14086, welche die US-innerstaatliche Grundlage für die Umsetzung der Verpflichtungen darstellt, gelten auch für alle Transfermechanismen im Sinne des Art. 46 DSGVO. Hierbei ist jedoch zu beachten, dass eine Abwägung weiterhin erforderlich ist, bei dieser die die neuen verbindlichen Garantien jedoch in positiver Weise berücksichtigt werden können.

Konkret bedeutet dies, dass US-Unternehmen, die sich nicht dem neuen EU-US-Datenschutzrahmen unterwerfen, z.B. weiterhin die bekannten Standarddatenschutzklauseln als Übermittlungsinstrument für Datentransfers außerhalb des EWR-Raums abschließen und die dort vorgesehenen Transfer Impact Assessments durchführen müssen. Aufgrund des neuen Datenschutzrahmens werden diese Einzelfallprüfungen jedoch wesentlich einfacher und weniger komplex sein als bisher.

Welche Rechtsmittel haben EU-Bürger:innen, wenn ihre Daten von US-Unternehmen nicht ordnungsgemäß behandelt werden?

EU-Bürger:innen stehen verschiedene Rechtsmittel zur Verfügung. Dazu gehören kostenlose unabhängige Streitbeilegungsverfahren und eine Schiedsstelle. Darüber hinaus haben EU-Bürger:innen auch die Möglichkeit, eine Beschwerde bei den nationalen Datenschutzaufsichtsbehörden einzulegen. Außerdem haben sie Zugang zum DPRC, um Beschwerden einzureichen und mögliche Verstöße gegen den Datenschutz zu klären.

Welche Rechtsmittel stehen EU-Bürger:innen gegen die Datenverarbeitung durch US-Geheimdienste zur Verfügung?

Um gegen eine Datenverarbeitung durch US-Geheimdienste vorzugehen, steht den EU-Bürger:innen ein zweistufiges Abhilfeverfahren zur Verfügung. Im ersten Schritt können die EU-Bürger:innen bei der für sie zuständigen nationalen Datenschutzbehörde eine Beschwerde einreichen, die dann durch den Europäischen Datenschutzausschuss übermittelt wird. Dort wird die Beschwerde von dem „Civil Liberties Protection Officer“ (CLPO) untersucht. Wenn in diesem Verfahren der Beschwerde keine Abhilfe geschaffen wird, besteht die Möglichkeit, die Entscheidung durch den DPRC zu überprüfen.

Wie wird der EU-US-Datenschutzrahmen und dessen Umsetzung überprüft?

Die Funktionsweise des Datenschutzrahmens soll regelmäßig von der Europäischen Kommission und Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden überprüft werden. Die erste Überprüfung soll ein Jahr nach Inkrafttreten des Beschlusses stattfinden.

Was geschah nach der Aufhebung des vorherigen EU-U.S. Privacy Shield?

Nach der Aufhebung des vorherigen Privacy Shield nahmen die Europäische Kommission und die US-Regierung Gespräche auf, um einen neuen EU-US-Datenschutzrahmen zu entwickeln, der den vom Europäischen Gerichtshof geäußerten Bedenken Rechnung trägt.

Wie wird der EU-US-Datenschutzrahmen in den USA durchgesetzt?

Für die Durchsetzung und Überprüfung der Einhaltung des EU-US Datenschutzrahmens sind verschiedene Stellen verantwortlich. Das US-Handelsministerium (Department of Commerce) ist für die Verwaltung des EU-US-Datenschutzrahmens verantwortlich und bearbeitet die Anträge der US-Unternehmen auf Aufnahme und Zertifizierung. Daneben beobachtet und beurteilt das Department of Commerce die Einhaltung der Anforderungen. Die Federal Trade Commission ist für die Durchsetzung der Verpflichtungen des EU-US-Datenschutzrahmen verantwortlich.

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …