Warum Daten nun ohne Probleme in die USA übermittelt werden können.

Datenschutz jetzt leichter – US-Unternehmen mit angemessenem Schutzniveau?

Seit dem 10.07.2023 können sich US-Unternehmen bei dem US- Handelsministerium zertifizieren lassen. Dadurch wird ihnen ein ausreichendes Datenschutzniveau bestätigt. Was das für Unternehmen aus der EU bedeutet erklären wir Dir in diesem Artikel.

160819_PCO_SubService_Icons_Clean_V1_R2
26. Juli 2023
160819_PCO_SubService_Icons_Clean_V1_R2
Consulting
160819_PCO_SubService_Icons_Clean_V1_R2
Malte Keller

Neues Datenschutzabkommen zwischen EU und USA ist in Kraft getreten

Allen Unternehmen bekannt und von vielen gehasst: Datenschutz verhindert den Transfer von personenbezogenen Daten in die USA und dadurch den Einsatz von beliebten IT-Lösungen vieler US-Anbieter wie Microsoft und Google. 

Der Transfer war bislang nur mit aufwendigen formellen Anforderungen möglich und nie gänzlich risikofrei. Datenschutz-Aufsichtsbehörden sprachen sich gegen den Einsatz aus, es erfolgten teilweise Verbote.

Das hat sich nun geändert. Seit dem 10.07.2023 können sich US-Unternehmen bei dem US- Handelsministerium zertifizieren lassen. Dadurch wird ihnen ein ausreichendes Datenschutzniveau bestätigt. Der Vorteil: Unternehmen aus der EU können wieder Daten zu derartigen Unternehmen transferieren ohne komplexere formelle Anforderungen und rechtssicher – Risikofrei!

Nachfolgend erfährst Du alles, was Du über die neue Lösung zu US-Datentransfers wissen musst.

Short recap: Das Problem mit den USA im Datenschutz

Das Datenschutzniveau in den USA ist nicht dasselbe wie in Europa und daher ein Problem, wenn Unternehmen Daten dorthin übertragen wollen, zum Beispiel mit dem Einsatz von Microsoft 365 Anwendungen. In der Vergangenheit wurden zwischen der EU-Kommission und dem US-Handelsministerium Abkommen geschaffen, („Safe Harbor“ und „EU-US Privacy Shield“) welche die Regelung der Datentransfers von europäischen Bürgern in die USA legitimierten. Beide Abkommen wurden von dem EuGH gekippt, letzteres 2020. Seitdem herrschte Ungewissheit und Unternehmen mussten komplexe formelle Anforderungen erfüllen, um am Ende nicht gänzlich risikofrei Daten in die USA transferieren zu können.

Welche Lösung gibt es nun?

Mit dem am 10.07.2023 in Kraft getretenen Angemessenheitsbeschluss „EU-US Data Privacy Framework“ wird zertifizierten US-Unternehmen ein angemessenes Datenschutzniveau zugesprochen. Das Data Privacy Framework dient somit als Erlaubnis für die Übermittlung personenbezogener Daten in die USA, daran können nun auch die Datenschutzbehörden nichts mehr ändern.

Welche US-Unternehmen sind zertifiziert?

US-Unternehmen können sich unter dem EU-US Data Privacy Framework zertifizieren und werden im Anschluss in einer zentralen Data Privacy Framework List des US-Handelsministeriums aufgeführt. Die Zertifizierung muss jährlich erbracht werden, andernfalls erfolgt die Streichung aus der Liste durch das US-Handelsministerium. 

Unternehmen, die bereits unter dem Vorgänger-Beschluss „Privacy Shield“ zertifiziert waren und bis zum 17.07.2023 keinen Rückzugsantrag gestellt haben, befinden sich auf dieser Liste. Hierzu gehören aktuell lt. Liste u.a. Microsoft und Google.
 

Was müssen Unternehmen jetzt tun?

  • In der Data Privacy Framework List prüfen, ob genutzte US-Zielunternehmen zertifiziert und exportierte Datenkategorien inbegriffen sind. Die Prüfung muss regelmäßig erfolgen (z.B. alle sechs Monate).
  • Formelle Anforderungen für Auftragsverarbeitungen müssen weiterhin erfüllt werden. Hier sind ggf. bereits getroffene Regelungen zu Angemessenheitsbeschlüssen zu beachten, zum Beispiel ein möglicher und automatischer Wechsel zum Data Privacy Framework oder eine Kündigung und Neuabschluss.
  • Anpassen von Datenschutzhinweisen, Einwilligungen und Prozessen der betroffenen Datenverarbeitungen (Z.B. auf Webseiten).
  • Sofern bereits formelle Anforderungen und technische Schutzmaßnahmen getroffenen wurden, sollte geprüft werden, ob diese weiterhin notwendig sind oder beibehalten werden können.

Fazit

Das EU-US Data Privacy Framework erleichtert nun den Transfer für personenbezogene Daten in die USA. Es bleibt jedoch abzuwarten, wie lange dieser Angemessenheitsbeschluss bestehen bleibt. Der Datenschutzaktivist Max Schrems, der mit seinen Klagen das Safe-Harbor-Abkommen und den Privacy Shield beenden konnte, hat bereits Gegenmaßnahmen angekündigt.

Wir helfen

pco Team Datenschutz

Wenn Du Unterstützung bei der Bewältigung von datenschutzrechtlichen Anforderungen benötigst, dann helfen wir Dir gerne.

Wir unterstützen Dich, die Prozesse in Deinem Unternehmen datenschutzgerecht, sicher und wirtschaftlich zu gestalten. Wir betrachten den Datenschutz nicht als Hindernis, sondern sehen ihn als große Chance sich vom Wettbewerb im Markt abzusetzen. 

Konzentriere Dich und Dein Business auf Dein Kerngeschäft, wir übernehmen den Datenschutz! 

Diese Aufgaben übernehmen wir für Dich

Ico microsoft to do To-Do_64x

Mandat externer DSB

Wir übernehmen Kontroll- und Überwachungsfunktionen im Datenschutz in Deinem Unternehmen

Ico microsoft to do To-Do_64x

Datenschutz Checks

Wir bestimmen das Datenschutzniveau in Deinem Unternehmen, identifizieren Defizite und helfen, diese zu beheben.

Ico microsoft to do To-Do_64x

Datenschutz Beratung

Wir zeigen auf, wie Du Dein Unternehmen im Datenschutz gesetzeskonform aufstellst und mit welchen Maßnahmen Lücken geschlossen werden können.

Malte Keller

Malte Keller

Data Protection Consultant | Consulting Services

0541 605 7614

Das könnte Dich auch interessieren