Kategorien
Neueste Beiträge
EU-US Data Privacy Framework
Nun ist es offiziell: Die Europäische Kommission hat das EU-US Data Privacy Framework beschlossen. – Die Pressemitteilung können Sie hier lesen. – Nach den nun fast drei Jahren der Unsicherheit bei der Nutzung von US-amerikanischen Diensten verspricht dieser Angemessenheitsbeschluss wieder den ungehinderten Datenaustausch. Damit gilt die USA als nicht mehr unsicheres Drittland – zumindest vorerst …
Der Ausgangspunkt
Nachdem der EuGH am 16. 07. 2020 das EU-US Privacy Shield in dem sogenannten Schrems II-Verfahren für ungültig erklärte (mehr dazu hier und hier), fanden zwischen der EU und den USA für mehrere Jahre Verhandlungen statt. Ziel dieser Verhandlungen war es, die Grundlage zu schaffen, um wieder einen freien Austausch personenbezogener Daten zwischen den USA und der EU zu schaffen.
Die Entstehungsgeschichte
Im März 2022 verkündeten EU-Präsidentin Ursula von der Leyen und US-Präsident Joe Biden, dass sie zu einer Vereinbarung zu eben solchem Datenaustausch gekommen sind. Erstmals fand das Trans-Atlantic Data Privacy Framework Erwähnung. Es folgten US-Präsident Joe Bidens Executive Order (Oktober 2022), der Entwurf des Angemessenheitsbeschlusses für das EU-US Data Privacy Framework der Europäischen Union (Dezember 2022) und die Stellungnahme hierzu des Europäischen Datenschutzausschusses (Februar 2023). Mit weiteren Zwischenetappen verkündete die Europäische Kommission am 10. Juli 2023 den Beschluss des EU-U.S. Data Privacy Frameworks – der neue Angemessenheitsbeschluss gemäß Art. 45 DSGVO.
Nächstes Jahr wird dann die erste Evaluation des Angemessenheitsbeschlusses stattfinden.
Die Vorteile dieses Angemessenheitsbeschlusses
Kurz gesagt: Aufgrund des ab sofort gültigen Angemessenheitsbeschlusses ist ein Austausch personenbezogener Daten zwischen der EU und den USA wieder möglich. Dabei ist es nun auch nicht mehr notwendig, dass Verantwortliche weitere Übermittlungsinstrumente oder zusätzliche Maßnahmen implementieren.
Das EU-US Data Privacy Framework soll u. a. Folgendes regeln und gewährleisten:
1) Begrenzung der Zugriffsmöglichkeiten durch US-amerikanische Geheimdienste auf das, was wirklich notwendig und angemessen ist, um die nationale Sicherheit zu gewährleisten.
2) Möglichkeiten für EU-Bürger, sich bezüglich der Verarbeitung ihrer personenbezogenen Daten zu erkunden und etwaige Beschwerden zu klären.
3) Angemessener Schutz beim Datenaustausch.
4) Verarbeitung von personenbezogenen Daten aufgrund einer Rechtmäßigkeit.
Voraussetzungen für den Datenaustausch
Wie auch bei EU-US Privacy Shield müssen die US-amerikanischen Unternehmen sich beim U.S. Department of Commerce zertifizieren lassen. Es gibt eine Webseite – so wie beim EU-US Privacy Shield -, die es Verantwortlichen ermöglichen soll, prüfen zu können, ob ein Unternehmen zertifiziert ist (Link). Nach aktuellem Stand scheinen sich die Zertifizierungsdaten allerdings noch auf das nicht mehr gültige EU-US Privacy Shield zu beziehen (Stand: 17.07.2023).
Kritikpunkte und voraussichtliche Beständigkeit von dem EU-US Data Privacy Framework
Max Schrems des Datenschutzvereins NOYB hat schon angekündigt, dass er und sein Team den Angemessenheitsbeschluss prüfen und bei Bedarf weitere Schritte einleiten werden. Nach bisherigen Berichten ist das EU-U.S. Data Privacy Framework kaum mehr als ein EU-US Privacy Shield. Nach seinen Einschätzungen gab es also kaum nennenswerte Änderungen: Die USA räumen EU-Bürgern nicht dieselben Rechte auf Datenschutz ein wie US-Bürgern. Auch an den US-amerikanischen Gesetzen hat sich nichts geändert. Weitere Kritikpunkte und Einzelheiten können Interessierte gern in diesem Beitrag von NOYB nachlesen. Nach aktuellem Stand wird es also wohl eine Fortsetzung der Schrems-Reihe geben.
Fazit
Viele Verantwortliche werden aufatmen: US-Unternehmen mit Interesse an Kunden aus der EU werden nicht lange warten und schnellstmöglich daran arbeiten, die EU-US Data Privacy Framework-Zertifizierung zu erhalten. Dies wird es auch für EU-Verantwortliche wieder einfacher machen, die Dienste und Leistungen von US-Unternehmen zu nutzen.
Trotz dieser Erleichterung beim Datenaustausch zwischen den USA und der EU müssen Verantwortliche natürlich weiterhin beachten, inwiefern etwaige Auftragsverarbeitungen nach Art. 28 Abs. 3 DSGVO oder gemeinsame Verantwortlichkeiten gemäß Art. 26 DSGVO vorliegen und die jeweilig relevanten Verträge mit Dienstleistern und Geschäftspartnern abzuschließen. Es ist natürlich weiterhin über die jeweilige Verarbeitungstätigkeit zu informieren (Datenschutzinformation nach Art. 13 DSGVO) und diese auch im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) festzuhalten.
Falls Sie Fragen zu diesem Thema und anderen Sachen zum Datenschutz haben, kontaktieren Sie uns gern noch heute.