Symbolbild für Privacy Shield 2.0

EU-US Data Privacy Framework: Was Sie jetzt wissen müssen

Nachdem das letzte Abkommen für sicheren Datenverkehr zwischen der EU und den USA im Juli 2020 außer Kraft gesetzt wurde, gibt es nun einen neuen Versuch: Die EU hat ihren Angemessenheitsbeschluss für das EU-US Data Privacy Framework angenommen. Sind aller guten Dinge drei? Wir werfen einen kritischen Blick auf das neue Framework.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2023-07-13

Logo
  • Author: Team datenschutzexperte.de
    Unser Team, bestehend aus zahlreichen Expert*innen im Bereich Datenschutz, weiß, was KMUs im Datenschutz bewegt. Unsere Beiträge sollen helfen, das Thema Datenschutz verständlich zu machen.

Das EU-US Data Privacy Framework

Drei Jahre nachdem das zweite Privacy Shield im Juli 2020 vom EuGH außer Kraft gesetzt wurde, gibt es seit 10. Juli 2023 ein neues Datenschutzabkommen zwischen der EU und den USA. Die Verunsicherung der letzten Jahre soll nun ein Ende haben. Die Europäische Kommission und die USA haben sich auf einen Nachfolger des Privacy Shield Abkommens geeignet. Die EU hat das EU-US Data Privacy Framework veröffentlicht.

Folgende Rahmenbedingungen des EU-US Data Privacy Frameworks sollen einen freien und sicheren Datenfluss zwischen der EU und den USA gewährleisten:

  • Neues Regelwerk und verbindliche Garantien, um den Datenzugriff der US-Geheimdienste auf das zu beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.
  • Zweistufiges Rechtsbehelfssystem zur Untersuchung und Beilegung von Beschwerden von EU-Bürgern über den Zugang zu Daten durch US-Nachrichtendienste.
  • Strengere Verpflichtungen für Unternehmen, die aus der EU übermittelte Daten verarbeiten, einschließlich einer Selbst-Zertifizierung.
  • Spezifische Überwachungs- und Überprüfungsmechanismen.

Wozu wird ein Framework bei Drittlandtransfers benötigt? 

Bei Datentransfers in ein Land außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraums (EWR) ist neben der Rechtsgrundlage für die Datenverarbeitung zusätzlich eine „Garantie“ für den Drittlandtransfer erforderlich. Für einige Drittstaaten hat die EU-Kommission eine solche Garantie mit einem sogenannten Angemessenheitsbeschluss geschaffen.  

Für die USA stellte lange Zeit das Privacy Shield Abkommen diesen Angemessenheitsbeschluss dar. Dieses Abkommen ermöglichte eine unkomplizierte Datenübermittlung an Unternehmen, die Privacy-Shield-zertifiziert waren. Im Juli 2020 wurde dieses Abkommen gekippt. Im sogenannten Schrems-II-Urteil bemängelte der EuGH, dass 

  • das Privacy Shield Abkommen keinen dem Unionsrecht gleichwertigen Rechtsschutz gewährleistet
  • die Zugriffsmöglichkeit von US-Geheimdiensten auf europäische Daten zu weitreichend ist 
  • die Betroffenen keine Möglichkeit hätten, ihre Rechte gegenüber den amerikanischen Behörden gerichtlich durchzusetzen.

Infolgedessen wurde das Privacy Shield Abkommen verworfen. Bis Juli 2023 bestand große Verunsicherung, unter welchen Bedingungen ein Datentransfer in die USA weiterhin möglich ist. Vor allem Unternehmen fürchteten Sanktionen und Beschwerden.  

Ist die Übermittlung personenbezogener Daten in die USA wieder problemlos möglich?

Nach langer Rechtsunsicherheit gibt es nun eine neue Grundlage für die gemeinsame Datenschutzpolitik von EU und USA.

Bisher mussten Unternehmen bei der Übermittlung von Daten ein angemessenes Datenschutzniveau sicherstellen, indem sie unter anderem mit Tool-Anbietern aus den USA die von der EU-Kommission bereitgestellten Standardvertragsklauseln (SCC) abschlossen, alle mit der Datenübermittlung verbundenen Risiken prüften und ergänzende technische, organisatorische oder vertragliche Maßnahmen vereinbarten.  

Unter dem neuen Framework können sich US-Unternehmen wie Google oder Meta zertifizieren und in eine Liste der US-Verbraucherschutzbehörde FTC für Unternehmen aufnehmen lassen, die die Grundsätze der DSGVO freiwillig befolgen. Sollte das Framework wieder gekippt werden, müssen die Voraussetzungen für einen sicheren Datentransfer in die USA wieder in jedem Einzelfall genau geprüft und gegebenenfalls zusätzliche Maßnahmen getroffen werden. 

Wie geht es jetzt weiter?

Unternehmen und Verbrauchern steht nach langer Zeit wieder ein verbindliches Regelwerk zur Verfügung, unter dem der Transfer von Daten aus der EU in das Drittland USA grundsätzlich möglich ist. Allerdings regt sich bereits Kritik unter Datenschützer:innen. Sie bemängeln unter anderem, dass auch unter dem neuen Abkommen keine Änderung der Sicherheitsgesetze in den USA vorgenommen wurde, obwohl dies wohl erforderlich wäre, um die wesentlichen Kritikpunkte des Schrems II-Urteils zu adressieren.  

Wie es in der Praxis weitergeht und ob das neue Framework Unternehmen für die nächsten Monate oder sogar Jahre Sicherheit bietet, bleibt also abzuwarten. Um beim Einsatz von Software aus den USA auf der sicheren Seite zu sein, sollten Unternehmen eng mit internen oder externen Datenschutzbeauftragten zusammenarbeiten. 

So ist sichergestellt, dass unternehmensinterne Prozesse und die Nutzung von Tools den aktuellen rechtlichen Vorgaben und den Anforderungen der DSGVO entsprechen. Wenn Sie noch auf der Suche nach einem Partner sind, mit dem Datenschutz endlich verständlich wird und ohne Aufwand umsetzbar ist, beraten wir Sie gern. 

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr