Serie zum Datenschutzrecht: Datentransfer in die USA

Nachdem der Europäische Gerichtshof den „Privacy Shield“ für die Übermittlung von Daten aus Europa in die USA vor rund drei Jahren als unwirksam erklärte, lebten insbesondere viele Unternehmer seitdem in der ständigen Befürchtung, aufgrund rechtswidriger Datenübertragungen mit Konsequenzen wie Bußgeldern konfrontiert werden.

Übermittlungen von personenbezogenen Daten in sogenannte Drittstaaten (d. h. alle Länder, die nicht zum Europäischen Wirtschaftsraum gehören) sind grundsätzlich nur unter folgenden Voraussetzungen möglich:

• Eine Rechtsgrundlage für die Datenverarbeitung
• Eine angemessene Garantie für ein gleiches Datenschutzniveau in den jeweiligen Drittstaat

Diese Garantien konnten bspw. Angemessenheitsbeschlüsse, Standarddatenschutzklauseln oder sog. Binding Corporate Rules sein.

Nach mehreren gescheiterten Versuchen hat die EU-Kommission nunmehr am 10.07.2023 beschlossen, dass durch das neue „EU-US Data Privacy Framework“ ein angemessenes Datenschutzniveau in den USA angenommen wird. Dies bedeutet, dass personenbezogene Daten aus dem EWR nunmehr in die USA übermittelt werden können, ohne dass weitere Garantien, wie etwa Standardvertragsklauseln, geschlossen werden müssen. Somit ist insbesondere die Nutzung typischer Tracking- und Analyse- oder Marketing-Tools von Anbietern aus den USA wieder möglich.

Hierzu muss jedoch bereits jetzt ausgeführt werden, dass sämtliche Übertragungen nur unter bestimmten Voraussetzungen möglich sind. Der Empfänger der jeweiligen Daten muss durch ein bestimmtes Verfahren zertifiziert sein. Dieses Zertifikat muss jährlich erneuert werden. In der Datenschutzerklärung muss die betroffene Person daher auch darüber aufgeklärt werden, dass der Empfänger in den USA nach dem Data Privacy Framework zertifiziert ist. Ob ein Unternehmen entsprechend des Data Privacy Framework zertifiziert ist, kann unter folgendem Link nachgesehen werden:

https://www.dataprivacyframework.gov/s/participant-search /

Insbesondere für Webtools auf Webseiten muss jedoch weiterhin beachtet werden, dass trotz allem auch eine Einwilligung der betroffenen Person weiterhin vorliegen muss.

Für Sie als Unternehmen bedeutet dies insbesondere in Zukunft, dass Sie das US-Unternehmen, an welches Sie personenbezogene Daten übermitteln möchten, darauf kontrollieren müssen, ob diese auch nach dem EU-US Data Privacy Framework zertifiziert sind. Dies gilt auch hinsichtlich etwaiger angesetzter Subunternehmer des jeweiligen Unternehmens.

Erfahrungsgemäß bietet es sich an, den Sachverhalt von Anfang durch einem in diesem Fachgebiet betrauten Anwalt begleiten zu lassen. Wir beraten deutschlandweit Unternehmen im Bereich des Datenschutzes. Herr Rechtsanwalt Robin Tafel ist im Mai diesen Jahres nach erfolgreichem Lehrgang und erfolgreicher Prüfung zum Datenschutzbeauftragten (TÜV) ernannt worden und verfügt über eine außerordentlich hohe Expertise im Bereich des Datenschutzrechtes. Insofern betreuen wir derzeit Unternehmen, die mit datenschutzrechtlichen Fragestellung aufgrund Auslandberührung hohen Beratungsbedarf haben, bei denen Herr Rechtsanwalt Tafel federführend den Datenschutz berät.

Gerne können Sie uns hierzu unter der Nummer 02307/1706-2 kontaktieren oder uns eine Anfrage per E-Mail an die Adresse ra@kanzlei-heidicker.de zukommen lassen.

Wir sehen Ihre Anfrage entgegen.