Das jüngste Datenschutzabkommen zwischen der EU und den USA
Der folgende Artikel untersucht den "Datentransfer in die USA" und erläutert den am 10.07.2023 in Kraft getretenen Angemessenheitsbeschluss der Europäischen Kommission.
Was ist das EU-U.S. Data Privacy Framework?
Ob Website-Analyse-Tools oder Cloud: Im modernen Geschäftsleben sind US-Unternehmen fast überall zu finden. Es ist schwierig, Datentransfers von personenbezogenen Daten mithilfe dieser US-Dienstleister zu vermeiden, jedoch müssen strenge Regeln befolgt werden. Vor Jahren einigten sich die EU und die USA auf das Safe Harbor-Abkommen und später auf das Privacy Shield-Abkommen, um eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten in den USA zu schaffen. Der Europäische Gerichtshof hat bereits beide für ungültig erklärt. Die EU-Kommission hat am 10. Juli 2023 einen neuen Beschluss zur Angemessenheit des Nachfolgeabkommens namens "EU-US Data Privacy Framework" erlassen, der zukünftige Datentransfers an US-Unternehmen erlaubt.
Eckpunkte des neuen Abkommens
Es wurden unter anderem folgende neue Datenschutzmaßnahmen ausgehandelt:
Es ist geplant, dass in den USA ein Gericht zur Überprüfung des Datenschutzes eingerichtet wird, das als "Data Protection Review Court" bekannt ist und zu dem EU-Betroffene Zugang haben sollen.
Außerdem wurden die Zugriffsbefugnisse im Zusammenhang mit Strafverfolgung und nationaler Sicherheit durch das Dekret (Executive Order 14086) beschränkt und sollen nur noch dann gegeben sein, wenn sie notwendig und angemessen sind.
Schließlich wurden neue Überwachungsfähigkeiten und -verfahren entwickelt, um sicherzustellen, dass die neuen Maßnahmen eingehalten werden.
Was ist ein Angemessenheitsbeschluss?
Ein Beschluss, der von der Europäischen Kommission gemäß Artikel 45 DSGVO angenommen wird und festlegt, dass ein Drittland (d.h. ein Land, das nicht an die DSGVO gebunden ist) oder eine internationale Organisation ein angemessenes Schutzniveau für personenbezogene Daten bietet, wird als „Angemessenheitsbeschluss“ bezeichnet. Die innerstaatlichen Gesetze des Landes, seine Aufsichtsbehörden und die internationalen Verpflichtungen des Landes werden in diesem Beschluss berücksichtigt.
Durch diese Entscheidung können EU-Mitgliedstaaten und Mitgliedstaaten des Europäischen Wirtschaftsraums personenbezogene Daten ohne zusätzliche Anforderungen an dieses Drittland übermitteln.
Gemäß Artikel 44 der Datenschutzgesetze (DSGVO) ist es nur gestattet, personenbezogene Daten in Drittländer zu übertragen, wenn bestimmte Bedingungen erfüllt werden, genauer gesagt, wenn die Übertragung durch einen Transfermechanismus legitimiert wird. Der Angemessenheitsbeschluss gemäß Artikel 45 der Datenschutzgrundverordnung ist der einfachste und gleichzeitig rechtssicherste Transfermechanismus für Unternehmen.
Der Angemessenheitsbeschluss
Im Gegensatz zu anderen Ländern ist der Beschluss der EU-Kommission zur Angemessenheit, Daten in die USA zu übermitteln, nicht allgemein gültig. Er wurde nicht für die Vereinigten Staaten erlassen, sondern für das "EU-US Data Privacy Framework" und genehmigt daher nur Datenübertragungen, die unter dem Schutz des neuen Übereinkommens durchgeführt werden.
Wie beim Vorgänger, dem Privacy Shield, müssen US-Unternehmen, die sich auf die datenschutzkonforme Handhabung von EU-Daten berufen wollen und deren Handhabung durch den Angemessenheitsbeschluss erfasst sein soll, sich für das neue Übereinkommen zertifizieren. Es ist geplant, die Zertifizierung durch Selbstverpflichtung auf den Datenschutzrahmen und (teilweise) Prüfungen der Umsetzung der Maßnahmen durchzuführen.
Laut einer offiziellen Mitteilung des US-amerikanischen Außenministeriums vom 10. Juli 2023 wird in den kommenden Tagen eine neue offizielle Website veröffentlicht, auf der US-Unternehmen ihre aktuellen Zertifizierungen für den neuen Datenschutzrahmen einsehen können. Diese Website soll es US-Unternehmen ermöglichen, vom Privacy Shield zum neuen Data Privacy Framework überzugehen.
Zum aktuellen Zeitpunkt ist unklar, ob Zertifizierungen, die nach dem ehemaligen EU-US-Privacy Shield erteilt wurden, automatisch mit dem neuen Datenschutzstandard fortgelten oder ob Unternehmen, die zuvor zertifiziert wurden, einen neuen Selbstverpflichtungs- und Zertifizierungsprozess durchlaufen müssen.
Wer ist betroffen?
EU-Unternehmen, die US-Dienste nutzen und dadurch personenbezogene Daten in die USA übermitteln.
Was können Sie tun?
Das neue EU-U.S. Data Privacy Framework erlaubt es, personenbezogene Daten nur an Organisationen zu übermitteln, die vom US Department of Commerce zertifiziert wurden. Das US Department of Commerce stellt die entsprechende Liste zur Verfügung. EU-Unternehmen müssen also die Zertifizierung des amerikanischen Unternehmens überprüfen. Sofern eine Zertifizierung vorliegt, ist es möglich, personenbezogene Daten an diese Unternehmen zu übermitteln, ohne dass zusätzliche Datenschutzvorschriften wie Standardvertragsklauseln (SCC) angewendet werden müssen.
Ihr entplexit Datenschutz Team
E-Mail: datenschutz@entplexit.com
Telefon: 06196 973 44 00