Europäische Kommission erklärt die USA als sicher für Datenschutz
Die Europäische Kommission hat am 10. Juli 2023 einen Angemessenheitsbeschluss erlassen, der die USA bzw. kommerzielle Organisationen, die an dem „Datenschutzrahmen EU-USA“ (Originaltitel: „EU-US Data Privacy Framework“) teilnehmen, in die Liste der Länder mit einem angemessenen Schutzniveau für personenbezogene Daten aufgenommen hat. Dieser neue Angemessenheitsbeschluss ist eine wichtige Entwicklung für europäische Unternehmen, die personenbezogene Daten in die USA übermitteln oder mit US-Organisationen zusammenarbeiten.
Hintergrund des Angemessenheitsbeschlusses ist das Schrems II Urteil des Europäischen Gerichtshofs (EuGH). Um die Bedenken des EuGHs entgegenzuwirken, wurde der neue „Datenschutzrahmen EU-USA“ eingeführt.
Über die Autorin
Dr. Marija Stambolieva
Infosec & Daten, Externe Datenschutzbeauftragte
Über die Autorin
Dr. Marija Stambolieva
Infosec & Daten, Externe Datenschutzbeauftragte
Europäische Kommission erklärt die USA als sicher für Datenschutz
Die Europäische Kommission hat am 10. Juli 2023 einen Angemessenheitsbeschluss erlassen, der die USA bzw. kommerzielle Organisationen, die an dem „Datenschutzrahmen EU-USA“ (Originaltitel: „EU-US Data Privacy Framework“) teilnehmen, in die Liste der Länder mit einem angemessenen Schutzniveau für personenbezogene Daten aufgenommen hat. Dieser neue Angemessenheitsbeschluss ist eine wichtige Entwicklung für europäische Unternehmen, die personenbezogene Daten in die USA übermitteln oder mit US-Organisationen zusammenarbeiten. Hintergrund des Angemessenheitsbeschlusses ist das Schrems II Urteil des Europäischen Gerichtshofs (EuGH). Um die Bedenken des EuGHs entgegenzuwirken, wurde der neue „Datenschutzrahmen EU-USA“ eingeführt.
Im Fokus: Neuer Datenschutzrahmen EU – USA
Der Datenschutzrahmen enthält Garantien, die sicherstellen sollen, dass der Zugang der US-Nachrichtendienste zu Daten auf das notwendige und verhältnismäßige Maß beschränkt wird. Einzelpersonen, deren Daten in die USA übermittelt wurden, haben zudem Zugang zu einem zweistufigen Rechtsbehelfsverfahren gegen US-Überwachungsmaßnahmen.
US-Organisationen, die am „Datenschutzrahmen EU-USA“ teilnehmen möchten, müssen eine Reihe von Datenschutzgrundsätzen einhalten. Um die Einhaltung der im Anhang I des Angemessenheitsbeschlusses enthaltenen Grundsätze zu bestätigen, müssen sich die teilnehmenden US-Organisationen einer Selbst-Zertifizierung unterziehen, die jährlich erneuert werden muss.
Welche Auswirkung hat dieser Beschluss für Sie als Verantwortliche/n?
Datenübermittlung in die USA:
Der Angemessenheitsbeschluss trat am 10.07.2023 in Kraft und ist unbefristet gültig. Ab diesem Zeitpunkt können Sie personenbezogene Daten von der EU an US-Unternehmen oder -Organisationen übermitteln, die am „Datenschutzrahmen EU-USA“ teilnehmen, ohne zusätzliche Datenschutzgarantien einführen zu müssen.
Prüfung der US-Organisationen:
Vor der Datenübermittlung sollten Sie jedoch sicherstellen, dass die US-Organisationen, an die die personenbezogenen Daten übermittelt werden sollen, auf der Liste des US-Handelsministeriums stehen. Diese Unternehmen haben sich verpflichtet, die im Rahmen festgelegten Datenschutzgrundsätze einzuhalten, und wurden entsprechend als angemessen eingestuft.
Weiterhin gültige Datenschutzmechanismen:
Alle Garantien, die von der US-Regierung eingeführt wurden, gelten unabhängig von den verwendeten Übermittlungsmechanismen weiterhin für alle Datenübermittlungen im Rahmen der DSGVO an Unternehmen in den USA. Sie können also weiterhin Standardvertragsklauseln oder verbindliche unternehmensinterne Vorschriften nutzen, um Daten sicher zu übermitteln.
Nutzung Microsoft Technologien:
Die Microsoft Corporation und verbundene Unternehmen nehmen am Datenschutzrahmenprogramm teil. Wenn Sie Microsoft-Technologien nutzen, fällt dies ebenfalls unter dieser Regelung.
Welche Restrisiken bestehen?
Trotz dieser positiven Entwicklungen sollten Sie sich der Restrisiken bewusst sein. Die Umsetzung des Angemessenheitsbeschlusses könnte in der Praxis angefochten werden. Angesichts der Tatsache, dass die zivilgesellschaftliche Organisation „noyb“ bereits ihre Unterstützung für derartige Beschwerden angekündigt hat, ist es nicht unwahrscheinlich, dass eine Klage beim EuGH eingehen wird.
Mehr Klarheit kann in Zukunft durch zwei mögliche Szenarien erlangt werden:
1. Erste Überprüfung durch die Europäische Kommission: Die Europäische Kommission wird den Angemessenheitsbeschluss innerhalb eines Jahres nach seinem Inkrafttreten überprüfen. Eine positive Bewertung könnte zusätzliche Rechtssicherheit bieten.
2. Entscheidung des Europäischen Gerichtshofs (EuGH): Falls es zu einer Klage vor dem EuGH kommt, könnte eine abschließende Entscheidung des Gerichts Klarheit über die Rechtmäßigkeit des Angemessenheitsbeschlusses schaffen.
Was können Ihre nächsten Schritte sein?
Es ist ratsam, die Entwicklungen in Bezug auf den Angemessenheitsbeschluss und weitere Informationen in der Datenschutzlandschaft genau im Auge zu behalten.
Der Angemessenheitsbeschluss bietet eine gewisse Erleichterung für Unternehmen und zeigt das Bemühen, den Datenschutz auf internationaler Ebene zu stärken. Weitere Pflichten gemäß der DSGVO gelten nach wie vor. Entsprechende technische und organisatorische Maßnahmen (TOMs) oder die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) begünstigen den Schutz personenbezogener Daten zusätzlich.
Haben Sie Fragen?
Wenn Sie Fragen dazu haben oder sich Unterstützung bei den datenschutzrechtlichen Anforderungen wünschen, wenden Sie sich gerne an uns.
