© Bulat Siliva, Getty Images

Alter Wein in neuen Schläuchen?! – Angemessenheitsbeschluss für US-Unternehmen

Zuletzt aktualisiert am 17. Juli 2023

Am 10. Juli 2023 hat die Europäische Kommission ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA (EU-US Data Privacy Framework) angenommen, der dann am 11. Juli 2023 in Kraft trat. Darin wird erklärt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die innerhalb des neuen Datenschutzrahmens aus der EU an US-Unternehmen übermittelt werden.

Keine Rechtssicherheit

Allerdings schafft der Angemessenheitsbeschluss noch keine grundlegende Rechtssicherheit. Vielmehr müssen sich US-Unternehmen erst einmal dem neuen Datenschutzrahmen EU-USA per Selbstzertifizierungsverfahren anschließen. Im Rahmen der Zertifizierung müssen sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten und entsprechende Maßnahmen im Unternehmen zur Umsetzung dieser Vorgaben nachweisbar implementieren.

Dies wird dann von der beim US-Handelsministerium angesiedelten International Trade Administration geprüft. Werden alle zu prüfenden Vorgaben erfüllt, wird das Unternehmen in eine öffentliche Liste zertifizierter Unternehmen aufgenommen. Unternehmen müssen sich jährlich rezertifizieren. Erst dann können EU-Organisationen sich bei der Verarbeitung von Daten mit diesen zertifizierten Unternehmen auf den neuen Datenschutzrahmen berufen.  

Einjährige Einführungsphase

Überhaupt befinden sich viele der beschriebenen Verbesserungen (gegenüber dem für ungültig erklärten Privacy-Shield-Abkommen) noch im Stadium der geplanten bzw. versprochenen Umsetzung. Aus diesem Grunde wurde auch von der Kommission eine erste Überprüfung innerhalb eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses vereinbart, um die vollständige und wirksame Umsetzung zu verifizieren.

Es ist also von einer mindestens einjährigen Einführungsphase auszugehen, ehe erste gesicherte Erkenntnisse zur Funktionstüchtigkeit des neuen Datenschutzrahmens EU-USA vorliegen.  

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".

Online-Formular wird hier erscheinen

Schrems bereitet Klage vor

Die Aussicht auf langfristige Rechtssicherheit wird aber schon jetzt getrübt durch die Ankündigungen der von Max Schrems ins Leben gerufenen Datenschutzorganisation NOYB. Sie habe bereits verschiedene Verfahrensoptionen vorbereitet, um das neue Abkommen erneut vor den Europäischen Gerichtshof (EuGH) zu bringen, sobald die ersten US-Unternehmen zertifiziert seien.

Ihr Kernargument: Das neue Rahmenwerk beinhalte keine substanziellen Verbesserungen gegenüber dem Privacy-Shield-Abkommen. Die vom EuGH festgestellten Mängel würden ignoriert. Im Kern bleibe die Massenüberwachung nach FISA 702 unangetastet und Nicht-US-Bürger:innen werde nach wie vor kein angemessener Schutz ihrer Privatsphäre gewährt. Von daher geht NOYB davon aus, dass die Sache Anfang nächsten Jahres wieder vor dem EuGH landen werde. 

Es bleibt alles beim Alten

Vor diesem Hintergrund halten wir unsere Empfehlung aufrecht. Wenn Sie mit US-Unternehmen zusammenarbeiten und personenbezogene Daten verarbeiten:

  1. Stellen Sie die Notwendigkeit auf den Prüfstand. Ist die Verarbeitung wirklich zwingend notwendig und so wichtig für Ihre Organisation, dass Sie ein Bußgeld oder Schadensersatzforderungen in Kauf nehmen wollen? Gibt es datenschutzkonforme Alternativen, z. B. von Anbietern in der EU? Begründen Sie schriftlich, warum eine datenschutzkonforme Alternative ausscheidet!
  2. Falls Sie sich für eine Fortsetzung entscheiden, führen Sie eine Risikoanalyse (DSFA) durch und treffen Sie alle notwendigen Maßnahmen, um das Risiko weiterer Verstöße zu minimieren.
  3. Nehmen Sie die Verarbeitung als gesonderte Verarbeitung sorgfältig dokumentiert in Ihr Verzeichnis von Verarbeitungstätigkeiten auf, sodass Sie jederzeit in der Lage sind, ein Auskunftsersuchen diesbezüglich umfänglich zu beantworten.
  4. Verfassen Sie eine eigene Datenschutzerklärung, die das verbleibende Risiko für die Betroffene in verständlicher Sprache und klarer Darstellung erklärt und nehmen Sie diese als gesonderten Punkt in die allgemeine Datenschutzerklärung Ihrer Organisation auf. Weisen Sie auch unbedingt auf die Tatsache hin, dass Betroffene ihre ihnen zustehenden Rechte gem. Kapitel III der DSGVO vor amerikanischen Gerichten nicht einklagen können!
  5. Erstellen Sie eine Exit-Strategie, wie Sie ggf. bei einem expliziten Verbot vorgehen werden und prüfen Sie jetzt schon Alternativen. 

Person sitzt mit einer Zeitung auf einer Bank

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".

Newsletter Anmeldung

Quellen

European Commission (2023): "Adequacy decision for the EU-US Data Privacy Framework", 10. Juli 2023, https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en, letzter Zugriff am 12. Juli 2023.

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Alle akzeptieren Alle ablehnen Einstellungen ändern
Cookies