Angemessenheitsbeschluss: Datentransfer in die USA wieder erlaubt?

eu us data privacy framework- was bring tder angemessenheitsbeschluss in der Praxis?Am 10.07.2023 hat die EU-Kommission nun einen neuen Angemessenheitsbeschluss für das Nachfolgeabkommen, das sogenannte „EU-US Data Privacy Framework“ erlassen. Sie hat damit grünes Licht für zukünftige Datentransfers an US-Unternehmen gegeben. In diesem Beitrag werde ich dir zeigen, was der neue Angemessenheitsbeschluss vorsieht, welche neuen Mechanismen implementiert wurden und ab wann bzw. unter welchen Umständen Datenübermittlungen in die USA nun rechtskonform möglich sind.

Hintergrund

Für die datenschutzkonforme Übermittlung personenbezogener Daten an Drittstaaten außerhalb der EU verlangt die Datenschutz-Grundverordnung (DSGVO) geeignete Datenschutzgarantien gemäß Artikel 44 ff. DSGVO.

Nachdem der Europäische Gerichtshof (EuGH) im Jahr 2020 den EU-US-Privacy Shield für ungültig erklärt hatte, brachen die staatlich anerkannten Datenschutzgarantien für die Übermittlung personenbezogener Daten in die USA weg.

Das führte zu viel Rechtsunsicherheit und bestärkte Trittbrettfahrer darin, sich mit DSGVO Schmerzensgeld-Ansprüchen ein kleines „Nebeneinkommen“ zu verdienen.

Das EU-US-Privacy Shield war mit einem Angemessenheitsbeschluss der EU-Kommission verbunden, der als Garant angemessener Datenschutzmechanismen im Sinne von Artikel 45 DSGVO die Datenübermittlung an US-Unternehmen rechtfertigte, die dem Privacy Shield beigetreten waren.

sind dank data privacy framework wieder datenübertragungen an google, meta und co zulässig?
>>YouTube Video jetzt ansehen<<

Kritik der Datenschutzbehörden

Das Privacy Shield konnte jedoch nicht verhindern, dass US-Behörden, insbesondere die US-Geheimdienste, weitreichenden Zugriff auf übermittelte Daten hatten. Behörden betrachteten es daher letztendlich als unzureichend für den Schutz der Rechte und Freiheiten von EU-Bürgern.

Als Alternative sollten nun andere Mechanismen, wie verbindliche interne Datenschutzvorschriften und Standardvertragsklauseln (SCCs), gemäß Artikel 46 DSGVO für geeignete Datenschutzgarantien bei Datenübermittlungen in die USA sorgen.

Allerdings wiesen führende Datenschutzbehörden darauf hin, dass solche Maßnahmen nur für die betroffenen Unternehmen selbst verbindlich seien und die staatlichen Zugriffsrechte der US-Behörden nicht einschränken könnten, was das Kernproblem der Datenschutzbedenken nicht beseitigte.

Politik hat reagiert: „EU-US Data Privacy Framework“

Auf Druck der Wirtschaft nahmen die EU und die USA daher schnell Verhandlungen über ein neues Datenschutzübereinkommen auf, das den Titel „EU-US Data Privacy Framework“ trägt und die Mängel des Privacy Shield beheben soll.

Nach der Vorstellung des neuen Regelwerks im März 2022 kam es zu Revisionen und Neukonsolidierungen, wodurch sich das Inkrafttreten verzögerte, bis die EU-Kommission am 10.07.2023 den endgültigen Angemessenheitsbeschluss für den neuen EU-US-Datenschutzrahmen erlassen konnte.

Dieser Beschluss gilt als anerkannte Rechtfertigung für Datenübermittlungen an US-Unternehmen, die am neuen Datenschutzrahmen teilnehmen, und beseitigt vorerst jegliche datenschutzrechtlichen Unsicherheiten und Risiken.

Sind US-Datentransfers nun wieder erlaubt?

Kurz: ja. Du darfst nun wieder Daten mittels der allgemeinen Rechtsgrundlagen in die USA transferieren. Das kann zum Beispiel ein berechtigtes Interesse an direkt Werbung in Form von E-Mail-Newslettern sein.

Aber Vorsicht:

Anders als bei anderen Drittstaaten legitimiert der Angemessenheitsbeschluss der EU-Kommission nicht grundsätzlich Datenübermittlungen in die USA.

Der Beschluss wurde nicht für die USA selbst erlassen, sondern für das „EU-US Data Privacy Framework“. Daher billigt er nur Datentransfers, die im Rahmen des neuen Übereinkommens stattfinden.

Wie schon beim Privacy Shield müssen sich US-Unternehmen, die sich auf die datenschutzkonforme Verarbeitung von EU-Daten berufen möchten und von dem Angemessenheitsbeschluss erfasst werden wollen, für das neue Übereinkommen zertifizieren lassen. Die Zertifizierung erfolgt durch Selbstverpflichtung auf den Datenschutzrahmen und teilweise Prüfungen der Umsetzung von Maßnahmen.

Eine aktuelle Liste über alle zertifizierten US-Unternehmen findest du unter nachfolgendem Link: https://www.dataprivacyframework.gov/s/participant-search

Wer steht jetzt schon auf der Liste? Auf alle Fälle die Promis:

  • Google
  • META
  • Webflow
  • Cloudflare
  • Intuit (Mailchimp)
  • Klaviyo

Gelten alte Zertifizierungen nach dem ehemaligen Privacy Shield weiter?

Das ist – Stand 19.07.2023 – unklar. Allerdings haben viele große Unternehmen ihre Zertifizierung nach Privacy Shield aufrechterhalten bzw. stetig aktualisiert und sind nun die ersten, die eine Zertifizierung nach dem neuen Standard vorweisen können.

Was ist jetzt zu tun?

Soweit du bisher personenbezogene Daten in die USA übermittelt hast, hast du ja eine besondere Rechtsgrundlage benötigt, zum Beispiel:

  • Besondere Einwilligung (Art. 49 I a DSGVO)
  • Erfordernis für Vertragsschluss (Art. 49 I b DSGVO)
  • Standardvertragsklauseln (Art. 46 DSGVO)

Wenn du die Datenübertragung nunmehr auf den Angemessenheitsbeschluss stützt, musst du deine Datenschutzhinweise anpassen. Dort ist dann als Rechtsgrundlage für die Übermittlung in die USA Art. 45 DSGVO anzugeben unter Hinweis auf „Data Privacy Framework“.

Soweit du beispielsweise personenbezogene Daten zu Analysezwecken verarbeitest (zum Beispiel Google Analytics) musst du beim ersten Aufruf der Seite deinem Nutzer mit einem Cookie Banner die Möglichkeit geben, aktiv einzuwilligen. Soweit du dort bislang eine besondere Einwilligung nach Art. 49 DSGVO verwendet hast, kann diese wieder stark auf das Standardmaß eingegrenzt werden.

Ist dieser Angemessenheitsbeschluss endgültig und dauerhaft gültig?

Nun die Kehrseite der Medaille: Max Schrems, der schon gegen die beiden früheren Angemessenheitsbeschlüsse geklagt hat, kündigte bereits jetzt an, die Legitimität des aktuellen Beschlusses gerichtlich überprüfen zu lassen.

Es ist also damit zu rechnen, dass Max Schrems im Frühjahr 2024 (so seine Ankündigung) gegen das „EU-US Data Privacy Framework“ klagt.

Es ist nicht ausgeschlossen, dass der EuGH auch dieses Mal die Garantien für Betroffenenrechte nicht für ausreichend erachtet und den Beschluss kippt. Das wird aber frühestens erst in 2-3 Jahren der Fall sein.

Sei also dennoch nicht allzu großzügig mit den Datenübertragungen in die USA. Habe immer einen Plan B, falls das derzeitige Abkommen gekippt wird.

Fragen?

Wenn du Fragen dazu hast: melde dich gerne. Ich habe viel Erfahrung in der Gestaltung von Datenschutzhinweisen und auch speziell in Bezug auf Datentransfers in die USA.

– oder Anfrage über das Kontaktformular senden –

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Seite erstellt von Dr. Max Greger am 19. Juli 2023 (zuletzt aktualisiert: 22. Juli 2023)