Nach Privacy-Shield kommt Data Privacy Framework 

War bis Juli 2020 das Privacy-Shield-Abkommen Rechtsgrundlage für den Datenaustausch mit den USA, hingen Unternehmen nach dessen Ungültigkeitserklärung in der Luft und bewegten sich bei der Datenverarbeitung in der rechtlichen Grauzone; in den meisten Fällen kamen Standardvertragsklauseln zur Anwendung.  

Nun hat die EU-Kommission einen Angemessenheitsbeschluss für den Transfer personenbezogener Daten in die USA getroffen (Data Privacy Framework). Doch Vorsicht: Das ist kein allgemeingültiger Beschluss: Vielmehr bestätigt dieser Beschluss den in einer Liste zertifizierten US-Unternehmen ein angemessenes Datenschutzniveau, das mit dem der EU vergleichbar ist. Auf dieser Grundlage können Verantwortliche und Auftragsverarbeiter nun personenbezogene Daten mit zertifizierten Unternehmen des Data Privacy Frameworks verarbeiten.  

Solange dieser Datenschutzrahmen zwischen der EU und den USA Bestand hat, ist eine Einzelfallprüfung für Datenübermittlungen nicht notwendig.  

Was muss mein Unternehmen konkret tun? 

Die gute Nachricht ist zunächst, dass spezielle Schutzmaßnahmen nach der DSGVO, wie EU-Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) oder das Vorliegen eines Ausnahmetatbestands im Einzelfall nicht erstellt werden müssen. Aber Achtung: Dies gilt nur bei Datentransfers mit gemäß des Data Privacy Framework zertifizierten US-Unternehmen und Organisationen!

Das US-Handelsministerium hat eine Liste von US-Unternehmen veröffentlicht, die sich gegenüber dem Ministerium selbst zertifiziert und sich zur Einhaltung der Grundsätze des neuen Datenschutzrahmens verpflichtet haben. Dabei ist zu überprüfen, ob die Zertifizierung auch alle Arten der zu übermittelnden personenbezogenen Daten abdeckt. 

Übermittlung von Daten an Unternehmen, die nicht zertifiziert sind 

Bei Datenübermittlungen an US-Unternehmen, die nicht zertifiziert sind, werden weiterhin die zuvor genannten speziellen Schutzmaßnahmen benötigt; in der Regel werden das Standardvertragsklauseln bzw. Standarddatenschutzklauseln sein. Bereits abgeschlossene haben weiterhin Bestand.  

Sollte Ihr Datenempfänger in den USA Subunternehmer einsetzen, müssen diese auch nach der Liste zertifiziert sein, oder entsprechende Garantien nach DSGVO für ein angemessenes Datenschutzniveau (wie Standardvertragsklauseln) bereitstellen.  

Eine Liste der zertifizierten Unternehmen und Organisationen finden Sie hier: https://www.dataprivacyframework.gov/s/participant-search  

Weitere Informationen: https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/17_Angemessenheitsbeschluss-EU-US-DPF.html 

Anpassung der Datenschutzhinweise im Unternehmen 

Auf jeden Fall sollten Sie Ihre Datenschutzhinweise aktualisieren: Wenn Daten an US-Unternehmen übermittelt werden (z.B. beim Besuch der Webseite), muss der Verantwortliche (Betreiber der Website) darüber informieren, ob diese Datenübermittlung auf den Angemessenheitsbeschluss gestützt wird oder auf eine andere Schutzmaßnahme (z.B. Standardvertragsklauseln). Die bisher genutzten datenschutzrechtlichen Garantien müssen überprüft und ggf. durch den Angemessenheitsbeschluss ersetzt werden. 

Die Aktualisierung betrifft auch das Verzeichnis der Verarbeitungstätigkeiten: Hier sollten Sie bei Datenübermittlungen in die USA gegebenenfalls den Angemessenheitsbeschluss als Rechtsgrundlage dokumentieren. 

Bei Cookie-Bannern kann die Einwilligung in die Datenübermittlung bei der Übermittlung an zertifizierte US-Unternehmen entfallen, wenn darüber bisher die Einwilligung der Besucher für den Datentransfer in die USA eingeholt wurde.