Neuer EU-Beschluss erleichtert Datenübermittlung von der EU in die USA

Der EU-US Data Privacy Framework

Die EU-Kommission hat am 10. Juli 2023 einen neuen Durchführungsbeschluss für die Übermittlung personenbezogener Daten zwischen der EU und den USA erlassen. Dieser Beschluss stützt sich auf den kürzlich vereinbarten EU-US-Datenschutzrahmen (EU-US Data Privacy Framework) und vereinfacht es wieder personenbezogene Daten an zertifizierte US-Unternehmen und -Organisationen zu übermitteln.

Überprüfen Sie Ihre Webseite

Wenn Sie feststellen lassen möchten, ob die auf Ihrer Webseite installierten Dienste datenschutzkonform Daten in die USA übertragen dürfen, lassen Sie Ihre Webseite von mir jetzt kostenlos überprüfen. Vereinbaren Sie einen unverbindlichen Erstberatungstermin und ich überprüfe, ob die von Ihnen verwendeten Dienste die Anforderungen des EU-US Data Privacy Shield 2.0 erfüllen.

Was hat sich geändert?

Der Unterschied zu dem mit dem Schrems-II-Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 für unwirksam erklärten EU-US Datenschutzschild (EU-US-Privacy Shield), ist nicht besonders groß. Ob der europäische Gerichtshof die Änderungen für ausreichend halten wird, das europäische Datenschutzniveau einzuhalten, wird sich erst noch zeigen.

• Eine der aufgenommenen Änderungen bestimmt, dass der Zugriff der US-Geheimdienste auf Daten europäischer Bürger begrenzt sein muss. Vor dem Zugriff muss sichergestellt sein, dass dieser auf das notwendig Maß beschränkt ist und verhältnismäßig bleibt.
• Außerdem wurde ein zweistufiges Beschwerdeverfahren gegen US-Überwachungsmaßnahmen eingeführt, das eine Überprüfung durch ein neu eingerichtetes Datenschutzprüfungsgericht beinhaltet (Data Protection Review Court).
• Keine Änderung zum EU-US-Datenschutzschild stellt die Notwendigkeit der Zertifizierung für US-Unternehmen dar. 

Das US-Handelsministerium hat eine Liste von Unternehmen veröffentlicht, die sich selbst für die Einhaltung der Grundsätze des EU-US-Datenschutzrahmens verpflichtet haben. Bereits zertifizierte Unternehmen können Sie hier einsehen:

https://www.dataprivacyframework.gov/s/participant-search

Datenübermittlungen an nicht zertifizierte US-Unternehmen, fallen demnach nicht unter den EU-US-Datenschutzrahmen. Solche Übermittlungen erfordern nach wie vor angemessene Garantien gemäß Artikel 46 DSGVO (z. B. SCC=Standardvertragsklauseln), die Anwendung verbindlicher unternehmensinterner Vorschriften gemäß Artikel 47 DSGVO oder das Vorliegen einer Ausnahme gemäß Artikel 49 DSGVO.

Die EU-Kommission wird die Funktionsweise des Datenschutzrahmens zwischen der EU und den USA fortlaufend überprüfen. Klagen namhafter Datenschützer, insbesondere des für den Fall der letzten beiden Datenschutzabkommen zwischen den USA und der europäischen Union verantwortlichen Juristen Max Schrems, wurden bereits angekündigt. Es ist daher zu befürchten, dass die Vereinfachung des Datentransfers an US-Unternehmen nicht lange bestehen bleiben wird. 

Was Sie nun tun sollten

Unserseits wird empfohlen, bereits umgesetzte Strategien zur Einhaltung des Datenschutzes (SCC, TIA, etc.) vorerst beizubehalten. Nur so lässt sich die ununterbrochene Einhaltung der Datenschutzbestimmungen sicherstellen.

Lassen Sie Ihre Webseite auf die Einhaltung der Datenschutzbestimmungen überprüfen. Unser Webseitenscanner berücksichtigt bereits sämtliche Unternehmen, die den Zertifizierungsprozess erfolgreich durchlaufen haben. Vereinbaren Sie gleich einen kostenlosen und unverbindlichen Erstberatungstermin und besprechen Sie mit uns, wie Sie den Datenschutz in Ihrem Unternehmen und Ihrer digitalen Außendarstellung verbessern können.

#prodataconsulting #datenschutz #dataprivacyframework #privacyshield #externerdatenschutzbeauftragter