Neues Datenschutzabkommen zwischen EU und USA ist in Kraft getreten
Allen Unternehmen bekannt und von vielen gehasst: Datenschutz verhindert den Transfer von personenbezogenen Daten in die USA und dadurch den Einsatz von beliebten IT-Lösungen vieler US-Anbieter wie Microsoft und Google.
Der Transfer war bislang nur mit aufwendigen formellen Anforderungen möglich und nie gänzlich risikofrei. Datenschutz-Aufsichtsbehörden sprachen sich gegen den Einsatz aus, es erfolgten teilweise Verbote.
Das hat sich nun geändert. Seit dem 10.07.2023 können sich US-Unternehmen bei dem US- Handelsministerium zertifizieren lassen. Dadurch wird ihnen ein ausreichendes Datenschutzniveau bestätigt. Der Vorteil: Unternehmen aus der EU können wieder Daten zu derartigen Unternehmen transferieren ohne komplexere formelle Anforderungen und rechtssicher – Risikofrei!
Nachfolgend erfährst Du alles, was Du über die neue Lösung zu US-Datentransfers wissen musst.
Short recap: Das Problem mit den USA im Datenschutz
Das Datenschutzniveau in den USA ist nicht dasselbe wie in Europa und daher ein Problem, wenn Unternehmen Daten dorthin übertragen wollen, zum Beispiel mit dem Einsatz von Microsoft 365 Anwendungen. In der Vergangenheit wurden zwischen der EU-Kommission und dem US-Handelsministerium Abkommen geschaffen, („Safe Harbor“ und „EU-US Privacy Shield“) welche die Regelung der Datentransfers von europäischen Bürgern in die USA legitimierten. Beide Abkommen wurden von dem EuGH gekippt, letzteres 2020. Seitdem herrschte Ungewissheit und Unternehmen mussten komplexe formelle Anforderungen erfüllen, um am Ende nicht gänzlich risikofrei Daten in die USA transferieren zu können.
Welche Lösung gibt es nun?
Mit dem am 10.07.2023 in Kraft getretenen Angemessenheitsbeschluss „EU-US Data Privacy Framework“ wird zertifizierten US-Unternehmen ein angemessenes Datenschutzniveau zugesprochen. Das Data Privacy Framework dient somit als Erlaubnis für die Übermittlung personenbezogener Daten in die USA, daran können nun auch die Datenschutzbehörden nichts mehr ändern.
Welche US-Unternehmen sind zertifiziert?
US-Unternehmen können sich unter dem EU-US Data Privacy Framework zertifizieren und werden im Anschluss in einer zentralen Data Privacy Framework List des US-Handelsministeriums aufgeführt. Die Zertifizierung muss jährlich erbracht werden, andernfalls erfolgt die Streichung aus der Liste durch das US-Handelsministerium.
Unternehmen, die bereits unter dem Vorgänger-Beschluss „Privacy Shield“ zertifiziert waren und bis zum 17.07.2023 keinen Rückzugsantrag gestellt haben, befinden sich auf dieser Liste. Hierzu gehören aktuell lt. Liste u.a. Microsoft und Google.
Was müssen Unternehmen jetzt tun?
- In der Data Privacy Framework List prüfen, ob genutzte US-Zielunternehmen zertifiziert und exportierte Datenkategorien inbegriffen sind. Die Prüfung muss regelmäßig erfolgen (z.B. alle sechs Monate).
- Formelle Anforderungen für Auftragsverarbeitungen müssen weiterhin erfüllt werden. Hier sind ggf. bereits getroffene Regelungen zu Angemessenheitsbeschlüssen zu beachten, zum Beispiel ein möglicher und automatischer Wechsel zum Data Privacy Framework oder eine Kündigung und Neuabschluss.
- Anpassen von Datenschutzhinweisen, Einwilligungen und Prozessen der betroffenen Datenverarbeitungen (Z.B. auf Webseiten).
- Sofern bereits formelle Anforderungen und technische Schutzmaßnahmen getroffenen wurden, sollte geprüft werden, ob diese weiterhin notwendig sind oder beibehalten werden können.
Fazit
Das EU-US Data Privacy Framework erleichtert nun den Transfer für personenbezogene Daten in die USA. Es bleibt jedoch abzuwarten, wie lange dieser Angemessenheitsbeschluss bestehen bleibt. Der Datenschutzaktivist Max Schrems, der mit seinen Klagen das Safe-Harbor-Abkommen und den Privacy Shield beenden konnte, hat bereits Gegenmaßnahmen angekündigt.
Wir helfen
Wenn Du Unterstützung bei der Bewältigung von datenschutzrechtlichen Anforderungen benötigst, dann helfen wir Dir gerne.
Wir unterstützen Dich, die Prozesse in Deinem Unternehmen datenschutzgerecht, sicher und wirtschaftlich zu gestalten. Wir betrachten den Datenschutz nicht als Hindernis, sondern sehen ihn als große Chance sich vom Wettbewerb im Markt abzusetzen.
Konzentriere Dich und Dein Business auf Dein Kerngeschäft, wir übernehmen den Datenschutz!
Diese Aufgaben übernehmen wir für Dich
Mandat externer DSB
Wir übernehmen Kontroll- und Überwachungsfunktionen im Datenschutz in Deinem Unternehmen
Datenschutz Checks
Wir bestimmen das Datenschutzniveau in Deinem Unternehmen, identifizieren Defizite und helfen, diese zu beheben.
Datenschutz Beratung
Wir zeigen auf, wie Du Dein Unternehmen im Datenschutz gesetzeskonform aufstellst und mit welchen Maßnahmen Lücken geschlossen werden können.