Nachdem der EuGH im Jahr 2020 das damalige Datenschutzabkommen EU-US-Privacy Shield zwischen den USA und der EU gekippt hatte, gab es seither keine rechtssicheren Regelungen für den Austausch persönlicher Daten zwischen Unternehmen der USA dem europäischen Datenraum. Damit einher gingen große Unsicherheiten in der Zusammenarbeit von Unternehmen der EU und den USA. Während das EU-US-Privacy Shield zwar den Datenaustausch zwischen Unternehmen der EU und der USA hinreichend regelte, fehlte darin die Regulierung des Umgangs mit persönlichen Daten durch US-Behörden und -Geheimdienste. Dies wurde im neuen Abkommen EU-US Data Privacy Framework nun nachgeholt und die EU-Kommision gab am 10.07.2023 grünes Licht dazu.

Wie wurden die Lücken geschlossen?

Um im neuen EU-US Data Privacy Framework den Lücken des vorigen EU-US-Privacy Shields zu begegnen, wurden dahingehend neue Regeln und Verfahren für US-Behörden ausgehandelt. Es wird in den USA ein Gericht zur Datenschutzüberprüfung geben, das für EU-Betroffene zugänglich sein wird. Per Dekret wurde der Zugriff auf persönliche Daten aus der EU für US-Behörden auf Notwendigkeit und Verhältnismäßigkeit beschränkt. Neue Überwachungskompetenzen und -prozesse sollen für die Einhaltung der Regeln sorgen.

Die gute Nachricht

Mit der Freigabe des EU-US Data Privacy Framework schließen sich viele rechtliche Lücken hinsichtlich des Datenschutzes zwischen den USA und der EU. Wie beim alten Datenschutzabkommen, können sich auch beim neuen US-Unternehmen für deren Einhaltung zertifizieren. Da die alte Regelung nur wegen Lücken hinsichtlich des Umgangs mit persönlichen Daten durch US-Behörden gekippt wurde, sollte sich an den Zertifizierungen der Unternehmen nichts ändern. Unklar war zum 11.07.2023, ob die Zertifizierung von US-Unternehmen gemäß der alten Regelung, automatisch auch für die neue gilt. Selbst wenn dies nicht zutrifft, dürften alle Unternehmen, welche der alten Regelung zugestimmt und sich zertifiziert hatten, dies auch für das neue Abkommen vollziehen.
Insgesamt stellt die Freigabe der EU-Kommission eine bahnbrechende Neuerung im positivsten Sinne dar.

Welche Fragen bleiben offen?

In der Praxis bleiben noch zwei essentielle Fragen offen, die allerdings in allernächster Zeit beantwortet sein dürften.

  1. Gilt die Zertifizierung von US-Unternehmen gemäß des alten EU-US-Privacy Shields automatisch auch für das neue EU-US Data Privacy Framework?
  2. Welche Unternehmen sind das und wie kommt man an eine Liste jener heran?

Zur Liste von Unternehmen mit neuer EU-US Data Privacy Framework Zertifizierung wird es eine offizielle Quelle geben. Zudem dürften die Unternehmen schon aus eigenem Interesse die Zertifizierung offiziell bekannt machen und an prominenten Stellen entsprechende Hinweise platzieren.

Wem betrifft die neue Regelung?

Das EU-US Data Privacy Framework betrifft alle EU-Personen und -Unternehmen. Personen, weil nun geregelt wurde, wie mit deren Daten in den USA umzugehen ist. Unternehmen, weil sie auf Webseiten und im Betrieb in aller Regel immer Produkte und Dienste nutzen, die unter Umständen personenbezogene Daten an Stellen in den USA übermitteln.

Beispiele für Datenübermittlung

Nachfolgend einige Beispiele für Dienste, wo personenbezogene Daten in den US-Datenraum übermittelt werden könnten.

  • Webseiten – Daten zum Nutzerverhalten, Einbindung von Youtube-Videos, Google-Dienste wie Maps, Dienste für Online-Shops, Miet-Shops etc.
  • Programme wie Microsoft 365 und Microsoft Cloud-Dienste, Amazon AWS, Adobe Cloud, Dropbox etc.

Wichtig – Anpassung der Datenschutzerklärung auf Webseiten, bzw. in Online-Shops und Handelsplattformen?

Durch das Inkrafttreten des EU-US Data Privacy Framework müssen alle Datenschutzerklärungen auf Webseiten und in Online-Shops angepasst werden. Es wirkt sich maßgeblich auf die Datenschutzerklärung, aber auch auf den Umgang mit Diensten auf Webseiten aus.

Auch hier eine gute Nachricht, denn alle unsere Kunden, die mindestens das DSGVO-Monitoring für 1 Webseite oder höher gebucht haben, erhalten diese Anpassung kostenlos und automatisch im Rahmen des darin enthaltenen Update-Service.

Kunden ohne DSGVO-Monitoring können wir die Anpassung manuell einmalig anbieten. Es entfällt wie bisher auch, die anwaltliche Haftung, sowie die Haftung durch CSE Kraus & Straubinger auf Richtigkeit und rechtliche Sicherheit. Wir erstellen dazu auf Anfrage sehr gerne ein Angebot.

Fazit

Nach nunmehr drei Jahren rechtlicher Unsicherheit bei der Nutzung Diensten aus US-Unternehmen auf Webseiten und im Unternehmen, gibt es endlich wieder ein von der EU-Kommission anerkanntes Datenschutzregelwerk zwischen den USA und der EU. In allernächster Zukunft können erweiterte Dienste und Software auf Webseiten und in Unternehmen, aber auch in öffentlichen Einrichtungen, wie Schulen und Behörden, rechtssicher genutzt werden.
Sobald die offenen Fragen geklärt sind und wir eine Liste der am neuen EU-US Data Privacy Framework teilnehmenden US-Firmen bekannt wird, teilen wir Sie mit unseren Kunden und Lesern.

Quelle: IT-Recht-Kanzlei

Kontaktieren Sie uns bitte gerne, falls Fragen oder Wünsche bestehen.

    Mit Absenden dieses Formulars erkläre ich, die Datenschutzerklärung zur Kenntnis genommen zu haben und stimme dieser zu. Ich willige in die Verarbeitung meiner personenbezogenen Daten im Rahmen dieser Kontaktaufnahme ein. Mir ist bekannt, dass ich diese Einwilligung jederzeit über die E-Mail Adresse E-Mail widerrufen kann.