Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der Datenschutz-Grundverordnung (DSGVO) für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können. Dies gilt jedoch nur für den Fall, dass sich das jeweilige US-Unternehmen, an das Daten übermittelt werden sollen, auch tatsächlich dem EU-US Data Privacy Framework angeschlossen hat. Der Beschluss folgt dem Erlass der Executive Order 14086 und der Umsetzung verbindlicher Garantien durch die USA, um die den Schrems-Urteilen zugrunde liegenden Datenschutzbedenken auszuräumen. Der Beschluss sieht neben neuen Richtlinien und Vorgaben zur Beschränkung der Nutzung von personenbezogenen Daten durch US-Geheimdienste auch einen Rechtsbehelfsmechanismus für Betroffene vor und trat mit der Verkündung am 10. Juli in Kraft. Der neue EU-US-Datenschutzrahmen gewährleiste nach Ansicht der Europäischen Kommission den sicheren Transfer von Daten von Bürgerinnen und Bürgern der EU und die Rechtssicherheit für Unternehmen auf beiden Seiten des Atlantiks.

In diesem Artikel beantworten wir die wichtigsten Fragen zum Angemessenheitsbeschluss für einen sicheren Datenverkehr zwischen der EU und den USA. Darüber hinaus unterstützen Sie unsere Expertinnen und Experten dabei, die notwendigen Maßnahmen zu ergreifen, um den neuen Anforderungen gerecht zu werden. Gemeinsam stellen wir sicher, dass Ihr Datentransfer in die USA den gesetzlichen Anforderungen entspricht.

Sie möchten sicherstellen, dass Ihr Datenverkehr mit den USA geschützt ist oder benötigen Unterstützung bei der Einhaltung der Datenschutzbestimmungen?

Der EU-US-Datenschutzrahmen ist ein Regelwerk, das die Übermittlung personenbezogener Daten aus der EU in die USA regelt. Er stellt sicher, dass die USA ein angemessenes Datenschutzniveau bieten, das mit dem der EU vergleichbar ist. Der EU-US-Datenschutzrahmen ermöglicht die sichere Übermittlung von Daten an teilnehmende US-Unternehmen, ohne dass zusätzliche Datenschutzgarantien im Sinne von Art. 46 DSGVO (z.B. Abschluss von Standarddatenschutzklauseln) eingeführt werden müssen.

Der Angemessenheitsbeschluss wurde am 10. Juli 2023 angenommen und ist am gleichen Tag in Kraft getreten. Es gibt keine zeitliche Befristung, aber die Kommission wird die relevanten Entwicklungen in den Vereinigten Staaten kontinuierlich beobachten und den Angemessenheitsbeschluss regelmäßig überprüfen.

Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses stattfinden, um festzustellen, ob alle relevanten Elemente des EU-US-Datenschutzrahmens in der Praxis wirksam funktionieren. Abhängig von den Ergebnissen dieser ersten Überprüfung wird die Kommission in Absprache mit den EU-Mitgliedstaaten und den Datenschutzbehörden über die Häufigkeit künftiger Überprüfungen entscheiden, die mindestens alle vier Jahre stattfinden sollen.,

Angemessenheitsbeschlüsse können angepasst oder sogar zurückgezogen werden, wenn etwa rechtliche oder politische Entwicklungen das Schutzniveau im Drittland beinträchtigen.

Ein Angemessenheitsbeschluss ist eines der Instrumente, die die DSGVO für die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder außerhalb des EWR (sogenannte Drittländer) vorsieht, die nach Auffassung der Kommission ein Datenschutzniveau bieten, das mit dem der Europäischen Union vergleichbar ist.

Nach dem Angemessenheitsbeschluss können personenbezogene Daten ohne weitere Bedingungen oder Genehmigungen frei und sicher aus dem EWR, der die 27 EU-Mitgliedstaaten sowie Norwegen, Island und Liechtenstein umfasst, in ein Drittland übermittelt werden. Mit anderen Worten: Datenübermittlungen in ein Drittland aufgrund eines Angemessenheitsbeschlusses können genauso behandelt werden wie Datenübermittlungen innerhalb des EWR.

Der Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen gilt für Datenübermittlungen von jeder öffentlichen oder privaten Stelle im EWR an US-Unternehmen, die am EU-US-Datenschutzrahmen teilnehmen.

Die Angemessenheit setzt nicht voraus, dass das Datenschutzniveau des Drittlands mit dem der EU identisch ist, sondern beruht auf dem Kriterium der „wesentlichen Gleichwertigkeit“. Dies beinhaltet eine umfassende Bewertung der Rechtslage eines Landes, sowohl in Bezug auf den Schutz personenbezogener Daten als auch in Bezug auf die verfügbaren Aufsichts- und Rechtsbehelfsmechanismen.

Die DSGVO sieht in Art. 45 verschiedene Kriterien vor, die bei dieser Bewertung berücksichtigt werden müssen, wie z. B. das Vorhandensein grundlegender Datenschutzprinzipien, individueller Rechte, einer unabhängigen Aufsicht und wirksamer Rechtsbehelfe.

Der EU-US-Datenschutzrahmen enthält neue verbindliche Garantien, um Datenschutzbedenken auszuräumen. Dazu gehört unter anderem die Beschränkung des Zugriffs der US-Geheimdienste auf EU-Daten auf das notwendige und verhältnismäßige Maß. Darüber hinaus wird die Einrichtung eines unabhängigen Datenschutzüberprüfungsgremiums (DPRC) gewährleistet, welches die Einhaltung der Datenschutzvorschriften überprüft und bei Verstößen die erforderlichen Abhilfemaßnahmen (wie bspw. eine Datenlöschung) anordnen kann.

US-Unternehmen können dem EU-US-Datenschutzrahmen beitreten, indem sie sich zur Einhaltung detaillierter Datenschutzverpflichtungen verpflichten. Diese sind für US-Unternehmen in Annex I des EU-US-Datenschutzrahmen geregelt. Dazu gehören unter anderem Verpflichtungen wie die Löschung personenbezogener Daten, wenn sie für den Zweck ihrer Erhebung nicht mehr benötigt werden, und die Gewährleistung des Schutzes von Daten, die an Dritte weitergegeben werden. Ferner müssen sie die Grundsätze der Datenverarbeitung, wie sie auch in Art. 5 DSGVO enthalten sind, einhalten und mit den europäischen Datenschutzaufsichtsbehörden kooperieren.

Auch Datenübermittlungen an US-Unternehmen, die sich nicht dem EU-US-Datenschutzrahmen unterworfen haben, den Datentransfer aber mittels einer geeigneten Garantie aus Art. 46 DSGVO absichern, profitieren von dem Angemessenheitsbeschluss. Denn alle Maßnahmen (inkl. der Rechtsbehelfe) der Executive Order 14086, welche die US-innerstaatliche Grundlage für die Umsetzung der Verpflichtungen darstellt, gelten auch für alle Transfermechanismen im Sinne des Art. 46 DSGVO. Hierbei ist jedoch zu beachten, dass eine Abwägung weiterhin erforderlich ist, bei dieser die die neuen verbindlichen Garantien jedoch in positiver Weise berücksichtigt werden können.

Konkret bedeutet dies, dass US-Unternehmen, die sich nicht dem neuen EU-US-Datenschutzrahmen unterwerfen, z.B. weiterhin die bekannten Standarddatenschutzklauseln als Übermittlungsinstrument für Datentransfers außerhalb des EWR-Raums abschließen und die dort vorgesehenen Transfer Impact Assessments durchführen müssen. Aufgrund des neuen Datenschutzrahmens werden diese Einzelfallprüfungen jedoch wesentlich einfacher und weniger komplex sein als bisher.

EU-Bürger:innen stehen verschiedene Rechtsmittel zur Verfügung. Dazu gehören kostenlose unabhängige Streitbeilegungsverfahren und eine Schiedsstelle. Darüber hinaus haben EU-Bürger:innen auch die Möglichkeit, eine Beschwerde bei den nationalen Datenschutzaufsichtsbehörden einzulegen. Außerdem haben sie Zugang zum DPRC, um Beschwerden einzureichen und mögliche Verstöße gegen den Datenschutz zu klären.

Um gegen eine Datenverarbeitung durch US-Geheimdienste vorzugehen, steht den EU-Bürger:innen ein zweistufiges Abhilfeverfahren zur Verfügung. Im ersten Schritt können die EU-Bürger:innen bei der für sie zuständigen nationalen Datenschutzbehörde eine Beschwerde einreichen, die dann durch den Europäischen Datenschutzausschuss übermittelt wird. Dort wird die Beschwerde von dem „Civil Liberties Protection Officer“ (CLPO) untersucht. Wenn in diesem Verfahren der Beschwerde keine Abhilfe geschaffen wird, besteht die Möglichkeit, die Entscheidung durch den DPRC zu überprüfen.

Die Funktionsweise des Datenschutzrahmens soll regelmäßig von der Europäischen Kommission und Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden überprüft werden. Die erste Überprüfung soll ein Jahr nach Inkrafttreten des Beschlusses stattfinden.

Nach der Aufhebung des vorherigen Privacy Shield nahmen die Europäische Kommission und die US-Regierung Gespräche auf, um einen neuen EU-US-Datenschutzrahmen zu entwickeln, der den vom Europäischen Gerichtshof geäußerten Bedenken Rechnung trägt.

Für die Durchsetzung und Überprüfung der Einhaltung des EU-US Datenschutzrahmens sind verschiedene Stellen verantwortlich. Das US-Handelsministerium (Department of Commerce) ist für die Verwaltung des EU-US-Datenschutzrahmens verantwortlich und bearbeitet die Anträge der US-Unternehmen auf Aufnahme und Zertifizierung. Daneben beobachtet und beurteilt das Department of Commerce die Einhaltung der Anforderungen. Die Federal Trade Commission ist für die Durchsetzung der Verpflichtungen des EU-US-Datenschutzrahmen verantwortlich.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln oder Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Mehr zum Thema

  • NIS 2 Richtlinie

    Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober NIS-2-fit

    Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.

    Weiterlesen

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

    Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

    Weiterlesen

Wir melden uns bei Ihnen!

In unserer Datenschutzerklärung finden Sie weitere Informationen, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben.