12.07.2023

Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.

Unverbindliches Erstgespräch vereinbaren
Ihre ISiCO-Expertin für das Thema:
Jacqueline Neiazy
Director Datenschutz

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der Datenschutz-Grundverordnung (DSGVO) für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können. Dies gilt jedoch nur für den Fall, dass sich das jeweilige US-Unternehmen, an das Daten übermittelt werden sollen, auch tatsächlich dem EU-US Data Privacy Framework angeschlossen hat. Der Beschluss folgt dem Erlass der Executive Order 14086 und der Umsetzung verbindlicher Garantien durch die USA, um die den Schrems-Urteilen zugrunde liegenden Datenschutzbedenken auszuräumen. Der Beschluss sieht neben neuen Richtlinien und Vorgaben zur Beschränkung der Nutzung von personenbezogenen Daten durch US-Geheimdienste auch einen Rechtsbehelfsmechanismus für Betroffene vor und trat mit der Verkündung am 10. Juli in Kraft. Der neue EU-US-Datenschutzrahmen gewährleiste nach Ansicht der Europäischen Kommission den sicheren Transfer von Daten von Bürgerinnen und Bürgern der EU und die Rechtssicherheit für Unternehmen auf beiden Seiten des Atlantiks.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte addieren Sie 5 und 7.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

In diesem Artikel beantworten wir die wichtigsten Fragen zum Angemessenheitsbeschluss für einen sicheren Datenverkehr zwischen der EU und den USA. Darüber hinaus unterstützen Sie unsere Expertinnen und Experten dabei, die notwendigen Maßnahmen zu ergreifen, um den neuen Anforderungen gerecht zu werden. Gemeinsam stellen wir sicher, dass Ihr Datentransfer in die USA den gesetzlichen Anforderungen entspricht.

Was ist der EU-US-Datenschutzrahmen?

Der EU-US-Datenschutzrahmen ist ein Regelwerk, das die Übermittlung personenbezogener Daten aus der EU in die USA regelt. Er stellt sicher, dass die USA ein angemessenes Datenschutzniveau bieten, das mit dem der EU vergleichbar ist. Der EU-US-Datenschutzrahmen ermöglicht die sichere Übermittlung von Daten an teilnehmende US-Unternehmen, ohne dass zusätzliche Datenschutzgarantien im Sinne von Art. 46 DSGVO (z.B. Abschluss von Standarddatenschutzklauseln) eingeführt werden müssen.

Wann tritt der Angemessenheitsbeschluss für den EU-US Datenschutzrahmen in Kraft?

Der Angemessenheitsbeschluss wurde am 10. Juli 2023 angenommen und ist am gleichen Tag in Kraft getreten. Es gibt keine zeitliche Befristung, aber die Kommission wird die relevanten Entwicklungen in den Vereinigten Staaten kontinuierlich beobachten und den Angemessenheitsbeschluss regelmäßig überprüfen.

Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses stattfinden, um festzustellen, ob alle relevanten Elemente des EU-US-Datenschutzrahmens in der Praxis wirksam funktionieren. Abhängig von den Ergebnissen dieser ersten Überprüfung wird die Kommission in Absprache mit den EU-Mitgliedstaaten und den Datenschutzbehörden über die Häufigkeit künftiger Überprüfungen entscheiden, die mindestens alle vier Jahre stattfinden sollen.,

Angemessenheitsbeschlüsse können angepasst oder sogar zurückgezogen werden, wenn etwa rechtliche oder politische Entwicklungen das Schutzniveau im Drittland beinträchtigen.

Was ist ein Angemessenheitsbeschluss?

Ein Angemessenheitsbeschluss ist eines der Instrumente, die die DSGVO für die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder außerhalb des EWR (sogenannte Drittländer) vorsieht, die nach Auffassung der Kommission ein Datenschutzniveau bieten, das mit dem der Europäischen Union vergleichbar ist.

Nach dem Angemessenheitsbeschluss können personenbezogene Daten ohne weitere Bedingungen oder Genehmigungen frei und sicher aus dem EWR, der die 27 EU-Mitgliedstaaten sowie Norwegen, Island und Liechtenstein umfasst, in ein Drittland übermittelt werden. Mit anderen Worten: Datenübermittlungen in ein Drittland aufgrund eines Angemessenheitsbeschlusses können genauso behandelt werden wie Datenübermittlungen innerhalb des EWR.

Der Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen gilt für Datenübermittlungen von jeder öffentlichen oder privaten Stelle im EWR an US-Unternehmen, die am EU-US-Datenschutzrahmen teilnehmen.

Nach welchen Kriterien wird die Angemessenheit beurteilt?

Die Angemessenheit setzt nicht voraus, dass das Datenschutzniveau des Drittlands mit dem der EU identisch ist, sondern beruht auf dem Kriterium der „wesentlichen Gleichwertigkeit“. Dies beinhaltet eine umfassende Bewertung der Rechtslage eines Landes, sowohl in Bezug auf den Schutz personenbezogener Daten als auch in Bezug auf die verfügbaren Aufsichts- und Rechtsbehelfsmechanismen.

Die DSGVO sieht in Art. 45 verschiedene Kriterien vor, die bei dieser Bewertung berücksichtigt werden müssen, wie z. B. das Vorhandensein grundlegender Datenschutzprinzipien, individueller Rechte, einer unabhängigen Aufsicht und wirksamer Rechtsbehelfe.

Wie gewährleistet der EU-US Datenschutzrahmen den Schutz personenbezogener Daten?

Der EU-US-Datenschutzrahmen enthält neue verbindliche Garantien, um Datenschutzbedenken auszuräumen. Dazu gehört unter anderem die Beschränkung des Zugriffs der US-Geheimdienste auf EU-Daten auf das notwendige und verhältnismäßige Maß. Darüber hinaus wird die Einrichtung eines unabhängigen Datenschutzüberprüfungsgremiums (DPRC) gewährleistet, welches die Einhaltung der Datenschutzvorschriften überprüft und bei Verstößen die erforderlichen Abhilfemaßnahmen (wie bspw. eine Datenlöschung) anordnen kann.

Was müssen US-Unternehmen tun, um sich dem EU-US-Datenschutzrahmen anzuschließen?

US-Unternehmen können dem EU-US-Datenschutzrahmen beitreten, indem sie sich zur Einhaltung detaillierter Datenschutzverpflichtungen verpflichten. Diese sind für US-Unternehmen in Annex I des EU-US-Datenschutzrahmen geregelt. Dazu gehören unter anderem Verpflichtungen wie die Löschung personenbezogener Daten, wenn sie für den Zweck ihrer Erhebung nicht mehr benötigt werden, und die Gewährleistung des Schutzes von Daten, die an Dritte weitergegeben werden. Ferner müssen sie die Grundsätze der Datenverarbeitung, wie sie auch in Art. 5 DSGVO enthalten sind, einhalten und mit den europäischen Datenschutzaufsichtsbehörden kooperieren.

Ihre Strategie für den besten Schutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Termin vereinbaren

Was ist mit Unternehmen, die sich nicht dem EU-US-Datenschutzrahmen unterwerfen?

Auch Datenübermittlungen an US-Unternehmen, die sich nicht dem EU-US-Datenschutzrahmen unterworfen haben, den Datentransfer aber mittels einer geeigneten Garantie aus Art. 46 DSGVO absichern, profitieren von dem Angemessenheitsbeschluss. Denn alle Maßnahmen (inkl. der Rechtsbehelfe) der Executive Order 14086, welche die US-innerstaatliche Grundlage für die Umsetzung der Verpflichtungen darstellt, gelten auch für alle Transfermechanismen im Sinne des Art. 46 DSGVO. Hierbei ist jedoch zu beachten, dass eine Abwägung weiterhin erforderlich ist, bei dieser die die neuen verbindlichen Garantien jedoch in positiver Weise berücksichtigt werden können.

Konkret bedeutet dies, dass US-Unternehmen, die sich nicht dem neuen EU-US-Datenschutzrahmen unterwerfen, z.B. weiterhin die bekannten Standarddatenschutzklauseln als Übermittlungsinstrument für Datentransfers außerhalb des EWR-Raums abschließen und die dort vorgesehenen Transfer Impact Assessments durchführen müssen. Aufgrund des neuen Datenschutzrahmens werden diese Einzelfallprüfungen jedoch wesentlich einfacher und weniger komplex sein als bisher.

Welche Rechtsmittel haben EU-Bürger:innen, wenn ihre Daten von US-Unternehmen nicht ordnungsgemäß behandelt werden?

EU-Bürger:innen stehen verschiedene Rechtsmittel zur Verfügung. Dazu gehören kostenlose unabhängige Streitbeilegungsverfahren und eine Schiedsstelle. Darüber hinaus haben EU-Bürger:innen auch die Möglichkeit, eine Beschwerde bei den nationalen Datenschutzaufsichtsbehörden einzulegen. Außerdem haben sie Zugang zum DPRC, um Beschwerden einzureichen und mögliche Verstöße gegen den Datenschutz zu klären.

Welche Rechtsmittel stehen EU-Bürger:innen gegen die Datenverarbeitung durch US-Geheimdienste zur Verfügung?

Um gegen eine Datenverarbeitung durch US-Geheimdienste vorzugehen, steht den EU-Bürger:innen ein zweistufiges Abhilfeverfahren zur Verfügung. Im ersten Schritt können die EU-Bürger:innen bei der für sie zuständigen nationalen Datenschutzbehörde eine Beschwerde einreichen, die dann durch den Europäischen Datenschutzausschuss übermittelt wird. Dort wird die Beschwerde von dem „Civil Liberties Protection Officer“ (CLPO) untersucht. Wenn in diesem Verfahren der Beschwerde keine Abhilfe geschaffen wird, besteht die Möglichkeit, die Entscheidung durch den DPRC zu überprüfen.

Wie wird der EU-US-Datenschutzrahmen und dessen Umsetzung überprüft?

Die Funktionsweise des Datenschutzrahmens soll regelmäßig von der Europäischen Kommission und Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden überprüft werden. Die erste Überprüfung soll ein Jahr nach Inkrafttreten des Beschlusses stattfinden.

Was geschah nach der Aufhebung des vorherigen EU-U.S. Privacy Shield?

Nach der Aufhebung des vorherigen Privacy Shield nahmen die Europäische Kommission und die US-Regierung Gespräche auf, um einen neuen EU-US-Datenschutzrahmen zu entwickeln, der den vom Europäischen Gerichtshof geäußerten Bedenken Rechnung trägt.

Wie wird der EU-US-Datenschutzrahmen in den USA durchgesetzt?

Für die Durchsetzung und Überprüfung der Einhaltung des EU-US Datenschutzrahmens sind verschiedene Stellen verantwortlich. Das US-Handelsministerium (Department of Commerce) ist für die Verwaltung des EU-US-Datenschutzrahmens verantwortlich und bearbeitet die Anträge der US-Unternehmen auf Aufnahme und Zertifizierung. Daneben beobachtet und beurteilt das Department of Commerce die Einhaltung der Anforderungen. Die Federal Trade Commission ist für die Durchsetzung der Verpflichtungen des EU-US-Datenschutzrahmen verantwortlich.

Weitere Neuigkeiten