Das Wichtigste in Kürze
- Für US-Unternehmen, die am EU-US Data Privacy Framework teilnehmen und zertifiziert sind, entfällt mit dem Datenschutzabkommen die Notwendigkeit von SCC und TIA.
- Es handelt sich um ein Selbstzertifizierungsverfahren, bei dem US-Unternehmen Unterlagen beim DoC – Department of Commerce einreichen müssen.
- Für EU-Unternehmen, die personenbezogene Daten an US-Unternehmen übermitteln, ergeben sich 2 Möglichkeiten:
- Der US-Datenempfänger ist zertifiziert und Teil des Data Privacy Frameworks.
In dem Fall müssen lediglich die Datenschutzerklärung und die Consent-Einstellungen angepasst werden. SCC und TIA sind nicht mehr notwendig. - Der US-Datenempfänger ist nicht zertifiziert und kein Teil des Data Privacy Frameworks.
In dem Fall gelten die alten Regelungen und SCC und TIA müssen weiterhin abgeschlossen werden.
- Der US-Datenempfänger ist zertifiziert und Teil des Data Privacy Frameworks.
- Es gibt bereits Stimmen, die das EU-US Data Privacy Framework für nicht datenschutzkonform halten und vor dem Europäischen Gerichtshof (EuGH) klagen möchten.
Datentransfer in die USA mittels EU-US Data Privacy Framework
Es ist so weit: Die Europäische Kommission und US-Präsident Joe Biden haben sich auf ein neues transatlantisches Datenschutzabkommen (EU-US Data Privacy Framework) geeinigt. Dieses ist am 10.07.2023 in Kraft getreten. Damit ist die Nutzung von Tracking-/ Analytic- und Marketing-Tools aus den USA, unter bestimmten Umständen, wieder zulässig. Allerdings müssen dazu einige Maßnahmen ergriffen werden. Welche das sind und was zu beachten ist, erfahren Sie in diesem Artikel.
1. So kam es zum EU-US Data Privacy Shield
Durch die DSGVO gelten in der EU strenge Regeln in Bezug auf den Umgang mit personenbezogenen Daten. Wenn Unternehmen personenbezogene Daten von EU-Bürgern ins EU-Ausland übermitteln, muss sichergestellt werden, dass dort ein vergleichbares, angemessenes Schutzniveau vorherrscht. Nur wenn das der Fall ist, darf die Übermittlung an ein Drittland stattfinden. Ob dies der Fall ist, wird von der Europäischen Kommission anhand eines Angemessenheitsbeschlusses (Adequacy decision) entschieden. Erkennt die Europäische Kommission ein Drittland als solches an, so sind keine weiteren Regelungen zu beachten.
Im Falle der USA führte genau das zu Problemen. Es gab Bedenken, dass die Daten der EU-Bürger nicht ausreichend vor möglichen Überwachungstätigkeiten der US-Geheimdienste geschützt werden, weshalb die bestehenden Angemessenheitsbeschlüsse für ungültig erklärt wurden.
Dadurch wurde die Nutzung jeglicher Dienste, Programme und Tools aus den USA unzulässig. Um dennoch Daten in die USA zu übermitteln, mussten vorher die von der EU bereitgestellten Standardvertragsklauseln/ Standard Contractual Clauses (SCC) abgeschlossen und im Rahmen eines Transfer Impact Assessments (TIA) eine eigene Bewertung des Schutzniveaus der Datenverarbeitung durchgeführt werden. Es mussten technische und organisatorische Maßnahmen getroffen werden, die die Sicherheit der personenbezogenen Daten sicherstellen.
Das ändert sich nun mit dem EU-US Data Privacy Shield.
2. Was ändert sich?
Dank dem Datenschutzabkommen entfällt die Notwendigkeit von SCC und TIA – allerdings nur, wenn das Unternehmen in den USA am EU-US Data Privacy Framework teilnimmt.
Es muss sich dazu verpflichten, die Datenschutzregelungen der EU einzuhalten und dies mittels einer Zertifizierung nachweisen.
Zertifizierte US-Unternehmen können sich dann auf den Angemessenheitsbeschluss berufen. Nichtsdestotrotz müssen Betroffene der Datenverarbeitung zustimmen. Dies geschieht üblicherweise über ein Cookie-Consent-Tool.
3. Wie läuft die Zertifizierung ab?
Das US-Handelsministerium (DoC – Department of Commerce) bearbeitet, verwaltet und überwacht die Zertifizierungsanträge. Es handelt sich um ein Selbstzertifizierungsverfahren, bei dem das Unternehmen Unterlagen einreichen muss. Sind diese vollständig, so wird es in das Data Privacy Framework (DPF) aufgenommen und gilt somit als zertifiziert. Die Zertifizierung muss jährlich erneuert werden.
Die offizielle Anleitung der amerikanischen Regierung finden Sie hier.
4. Das müssen Sie jetzt tun
Unternehmer aus der EU, die personenbezogene Daten in die USA übermitteln wollen, müssen sich nun folgende Fragen stellen:
Welche Dienste und Tools haben Sie im Einsatz, bei denen personenbezogene Daten in die USA übermittelt werden?
Sind die Empfänger aus den USA von der Datenschutzbehörde zertifiziert und Teil des Data Privacy Framework? Eine Übersicht finden Sie hier.
Haben Betroffene der Datenverarbeitung rechtskonform eingewilligt? Passen Sie gegebenenfalls die Einstellungen Ihres Consent-Tools an.
Ist die Übermittlung in Ihrer Datenschutzerklärung korrekt aufgeführt, z.B. anhand eines Datenschutzhinweises (Art 13. & 14 DSGVO)?
Das muss der Datenschutzhinweis beinhalten
- Teilnahme am EU-US DPF
- Arten der erhobenen Daten
- Zwecke der Verarbeitung
- Arten oder Identitäten von Dritten, an die personenbezogene Daten weitergegeben werden können
- Die Zwecke der Weitergabe personenbezogener Daten an Dritte
- Rechte der betroffenen Person
- Kontaktangaben der Organisation
- Verfügbare Rechtsbehelfe
5. Was passiert mit den abgeschlossenen SCC und TIA?
Wenn der Datenempfänger zertifiziert und Teil des Data Privacy Framework ist, so sind SCC und TIA nicht mehr notwendig. Bereits bestehende SCC können dennoch weiterhin als Instrument zur rechtssicheren Datenübermittlung genutzt werden.
Ohne Zertifizierung des Datenempfängers bleibt es bei den bisherigen Regelungen zur datenschutzkonformen Übermittlung.
6. Blick in die Zukunft
Erstmal kehrt mit dem EU-US Data Privacy Framework Ruhe ein.
Es ist jedoch gut möglich, dass diese nicht für immer währt. So hat der Datenschutz-Aktivist Max Schrems, der für die beiden Entscheidungen des EuGH “Schrems I und II” verantwortlich ist, bereits angekündigt, dass er das EU-US Data Privacy Framework nicht für datenschutzkonform hält und vorhat, erneut vor dem EuGH zu klagen.
Ob, wann und wie es dazu kommt und welche Änderungen das mit sich bringt, bleibt abzuwarten.
