Warum Daten nun ohne Probleme in die USA übermittelt werden können.

Allen Unternehmen bekannt und von vielen gehasst: Datenschutz verhindert den Transfer von personenbezogenen Daten in die USA und dadurch den Einsatz von beliebten IT-Lösungen vieler US-Anbieter wie Microsoft und Google. 

Der Transfer war bislang nur mit aufwendigen formellen Anforderungen möglich und nie gänzlich risikofrei. Datenschutz-Aufsichtsbehörden sprachen sich gegen den Einsatz aus, es erfolgten teilweise Verbote.

Das hat sich nun geändert. Seit dem 10.07.2023 können sich US-Unternehmen bei dem US- Handelsministerium zertifizieren lassen. Dadurch wird ihnen ein ausreichendes Datenschutzniveau bestätigt. Der Vorteil: Unternehmen aus der EU können wieder Daten zu derartigen Unternehmen transferieren ohne komplexere formelle Anforderungen und rechtssicher – Risikofrei!

Nachfolgend erfährst Du alles, was Du über die neue Lösung zu US-Datentransfers wissen musst.

Das Datenschutzniveau in den USA ist nicht dasselbe wie in Europa und daher ein Problem, wenn Unternehmen Daten dorthin übertragen wollen, zum Beispiel mit dem Einsatz von Microsoft 365 Anwendungen. In der Vergangenheit wurden zwischen der EU-Kommission und dem US-Handelsministerium Abkommen geschaffen, („Safe Harbor“ und „EU-US Privacy Shield“) welche die Regelung der Datentransfers von europäischen Bürgern in die USA legitimierten. Beide Abkommen wurden von dem EuGH gekippt, letzteres 2020. Seitdem herrschte Ungewissheit und Unternehmen mussten komplexe formelle Anforderungen erfüllen, um am Ende nicht gänzlich risikofrei Daten in die USA transferieren zu können.

Mit dem am 10.07.2023 in Kraft getretenen Angemessenheitsbeschluss „EU-US Data Privacy Framework“ wird zertifizierten US-Unternehmen ein angemessenes Datenschutzniveau zugesprochen. Das Data Privacy Framework dient somit als Erlaubnis für die Übermittlung personenbezogener Daten in die USA, daran können nun auch die Datenschutzbehörden nichts mehr ändern.

US-Unternehmen können sich unter dem EU-US Data Privacy Framework zertifizieren und werden im Anschluss in einer zentralen Data Privacy Framework List des US-Handelsministeriums aufgeführt. Die Zertifizierung muss jährlich erbracht werden, andernfalls erfolgt die Streichung aus der Liste durch das US-Handelsministerium. 

Unternehmen, die bereits unter dem Vorgänger-Beschluss „Privacy Shield“ zertifiziert waren und bis zum 17.07.2023 keinen Rückzugsantrag gestellt haben, befinden sich auf dieser Liste. Hierzu gehören aktuell lt. Liste u.a. Microsoft und Google.
 

• In der Data Privacy Framework List prüfen, ob genutzte US-Zielunternehmen zertifiziert und exportierte Datenkategorien inbegriffen sind. Die Prüfung muss regelmäßig erfolgen (z.B. alle sechs Monate).
• Formelle Anforderungen für Auftragsverarbeitungen müssen weiterhin erfüllt werden. Hier sind ggf. bereits getroffene Regelungen zu Angemessenheitsbeschlüssen zu beachten, zum Beispiel ein möglicher und automatischer Wechsel zum Data Privacy Framework oder eine Kündigung und Neuabschluss.
• Anpassen von Datenschutzhinweisen, Einwilligungen und Prozessen der betroffenen Datenverarbeitungen (Z.B. auf Webseiten).
• Sofern bereits formelle Anforderungen und technische Schutzmaßnahmen getroffenen wurden, sollte geprüft werden, ob diese weiterhin notwendig sind oder beibehalten werden können.

Das EU-US Data Privacy Framework erleichtert nun den Transfer für personenbezogene Daten in die USA. Es bleibt jedoch abzuwarten, wie lange dieser Angemessenheitsbeschluss bestehen bleibt. Der Datenschutzaktivist Max Schrems, der mit seinen Klagen das Safe-Harbor-Abkommen und den Privacy Shield beenden konnte, hat bereits Gegenmaßnahmen angekündigt.