Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Bulat Siliva, Getty Images
Alter Wein in neuen Schläuchen?! – Angemessenheitsbeschluss für US-Unternehmen
Zuletzt aktualisiert am 17. Juli 2023
Am 10. Juli 2023 hat die Europäische Kommission ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA (EU-US Data Privacy Framework) angenommen, der dann am 11. Juli 2023 in Kraft trat. Darin wird erklärt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die innerhalb des neuen Datenschutzrahmens aus der EU an US-Unternehmen übermittelt werden.
Keine Rechtssicherheit
Allerdings schafft der Angemessenheitsbeschluss noch keine grundlegende Rechtssicherheit. Vielmehr müssen sich US-Unternehmen erst einmal dem neuen Datenschutzrahmen EU-USA per Selbstzertifizierungsverfahren anschließen. Im Rahmen der Zertifizierung müssen sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten und entsprechende Maßnahmen im Unternehmen zur Umsetzung dieser Vorgaben nachweisbar implementieren.
Dies wird dann von der beim US-Handelsministerium angesiedelten International Trade Administration geprüft. Werden alle zu prüfenden Vorgaben erfüllt, wird das Unternehmen in eine öffentliche Liste zertifizierter Unternehmen aufgenommen. Unternehmen müssen sich jährlich rezertifizieren. Erst dann können EU-Organisationen sich bei der Verarbeitung von Daten mit diesen zertifizierten Unternehmen auf den neuen Datenschutzrahmen berufen.
Einjährige Einführungsphase
Überhaupt befinden sich viele der beschriebenen Verbesserungen (gegenüber dem für ungültig erklärten Privacy-Shield-Abkommen) noch im Stadium der geplanten bzw. versprochenen Umsetzung. Aus diesem Grunde wurde auch von der Kommission eine erste Überprüfung innerhalb eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses vereinbart, um die vollständige und wirksame Umsetzung zu verifizieren.
Es ist also von einer mindestens einjährigen Einführungsphase auszugehen, ehe erste gesicherte Erkenntnisse zur Funktionstüchtigkeit des neuen Datenschutzrahmens EU-USA vorliegen.
Sie wollen up to date bleiben?
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Schrems bereitet Klage vor
Die Aussicht auf langfristige Rechtssicherheit wird aber schon jetzt getrübt durch die Ankündigungen der von Max Schrems ins Leben gerufenen Datenschutzorganisation NOYB. Sie habe bereits verschiedene Verfahrensoptionen vorbereitet, um das neue Abkommen erneut vor den Europäischen Gerichtshof (EuGH) zu bringen, sobald die ersten US-Unternehmen zertifiziert seien.
Ihr Kernargument: Das neue Rahmenwerk beinhalte keine substanziellen Verbesserungen gegenüber dem Privacy-Shield-Abkommen. Die vom EuGH festgestellten Mängel würden ignoriert. Im Kern bleibe die Massenüberwachung nach FISA 702 unangetastet und Nicht-US-Bürger:innen werde nach wie vor kein angemessener Schutz ihrer Privatsphäre gewährt. Von daher geht NOYB davon aus, dass die Sache Anfang nächsten Jahres wieder vor dem EuGH landen werde.
Es bleibt alles beim Alten
Vor diesem Hintergrund halten wir unsere Empfehlung aufrecht. Wenn Sie mit US-Unternehmen zusammenarbeiten und personenbezogene Daten verarbeiten:
- Stellen Sie die Notwendigkeit auf den Prüfstand. Ist die Verarbeitung wirklich zwingend notwendig und so wichtig für Ihre Organisation, dass Sie ein Bußgeld oder Schadensersatzforderungen in Kauf nehmen wollen? Gibt es datenschutzkonforme Alternativen, z. B. von Anbietern in der EU? Begründen Sie schriftlich, warum eine datenschutzkonforme Alternative ausscheidet!
- Falls Sie sich für eine Fortsetzung entscheiden, führen Sie eine Risikoanalyse (DSFA) durch und treffen Sie alle notwendigen Maßnahmen, um das Risiko weiterer Verstöße zu minimieren.
- Nehmen Sie die Verarbeitung als gesonderte Verarbeitung sorgfältig dokumentiert in Ihr Verzeichnis von Verarbeitungstätigkeiten auf, sodass Sie jederzeit in der Lage sind, ein Auskunftsersuchen diesbezüglich umfänglich zu beantworten.
- Verfassen Sie eine eigene Datenschutzerklärung, die das verbleibende Risiko für die Betroffene in verständlicher Sprache und klarer Darstellung erklärt und nehmen Sie diese als gesonderten Punkt in die allgemeine Datenschutzerklärung Ihrer Organisation auf. Weisen Sie auch unbedingt auf die Tatsache hin, dass Betroffene ihre ihnen zustehenden Rechte gem. Kapitel III der DSGVO vor amerikanischen Gerichten nicht einklagen können!
- Erstellen Sie eine Exit-Strategie, wie Sie ggf. bei einem expliziten Verbot vorgehen werden und prüfen Sie jetzt schon Alternativen.
Quellen
European Commission (2023): "Adequacy decision for the EU-US Data Privacy Framework", 10. Juli 2023, https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en, letzter Zugriff am 12. Juli 2023.
Externer Datenschutz – Datenschutz und Datensicherheit – Datenschutzschulungen
Impressum | Datenschutzerklärung