Author Image Tobias Struebing | 13. Oktober 2023 | 0 Kommentare
Bild12343

Nach Privacy Shield kommt Data Privacy Network

Die EU-Kommission beschloss im Juli die neue Rechtsgrundlage für den Datenaustausch mit den USA

Beim Datenaustausch mit Unternehmen oder Kunden in den USA ist einiges zu beachten: So hat sich im Sommer 2023 die Rechtsgrundlage geändert. Was dabei ab jetzt zu beachten ist, erfahren Sie in diesem Beitrag.

Ein wichtiger Punkt hat jedoch weiterhin Bestand:  Ist die Übermittlung von Daten in die USA unzulässig, können Sanktionen durch Aufsichtsbehörden drohen: Die reichen von der Unterlassung des Einsatzes von Diensten und Dienstleistern bis hin zu Bußgeldern bis 4 Prozent des Umsatzes des Unternehmens.

Der rechtliche Rahmen 
Für alle Länder außerhalb der Europäischen Union gilt - UK ausgenommen - grundsätzlich: Achtung, unsicheres Drittland!  Hier müssen Sie genau prüfen, ob und wie und auf welcher Rechtsgrundlage Daten ausgetauscht werden können, ohne mit den Grundsätzen der DSGVO in Konflikt zu geraten. Das betrifft insbesondere die USA, die durch enge Wirtschaftsbeziehungen ganz besonders bei der Datenverarbeitung im Fokus steht.  

 

Nach Privacy-Shield kommt Data Privacy Framework 

War bis Juli 2020 das Privacy-Shield-Abkommen Rechtsgrundlage für den Datenaustausch mit den USA, hingen Unternehmen nach dessen Ungültigkeitserklärung in der Luft und bewegten sich bei der Datenverarbeitung in der rechtlichen Grauzone; in den meisten Fällen kamen Standardvertragsklauseln zur Anwendung.  

Nun hat die EU-Kommission einen Angemessenheitsbeschluss für den Transfer personenbezogener Daten in die USA getroffen (Data Privacy Framework). Doch Vorsicht: Das ist kein allgemeingültiger Beschluss: Vielmehr bestätigt dieser Beschluss den in einer Liste zertifizierten US-Unternehmen ein angemessenes Datenschutzniveau, das mit dem der EU vergleichbar ist. Auf dieser Grundlage können Verantwortliche und Auftragsverarbeiter nun personenbezogene Daten mit zertifizierten Unternehmen des Data Privacy Frameworks verarbeiten.  

Solange dieser Datenschutzrahmen zwischen der EU und den USA Bestand hat, ist eine Einzelfallprüfung für Datenübermittlungen nicht notwendig.  

Was muss mein Unternehmen konkret tun? 

Die gute Nachricht ist zunächst, dass spezielle Schutzmaßnahmen nach der DSGVO, wie EU-Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) oder das Vorliegen eines Ausnahmetatbestands im Einzelfall nicht erstellt werden müssen. Aber Achtung: Dies gilt nur bei Datentransfers mit gemäß des Data Privacy Framework zertifizierten US-Unternehmen und Organisationen!

Das US-Handelsministerium hat eine Liste von US-Unternehmen veröffentlicht, die sich gegenüber dem Ministerium selbst zertifiziert und sich zur Einhaltung der Grundsätze des neuen Datenschutzrahmens verpflichtet haben. Dabei ist zu überprüfen, ob die Zertifizierung auch alle Arten der zu übermittelnden personenbezogenen Daten abdeckt. 

Übermittlung von Daten an Unternehmen, die nicht zertifiziert sind 

Bei Datenübermittlungen an US-Unternehmen, die nicht zertifiziert sind, werden weiterhin die zuvor genannten speziellen Schutzmaßnahmen benötigt; in der Regel werden das Standardvertragsklauseln bzw. Standarddatenschutzklauseln sein. Bereits abgeschlossene haben weiterhin Bestand.  

Sollte Ihr Datenempfänger in den USA Subunternehmer einsetzen, müssen diese auch nach der Liste zertifiziert sein, oder entsprechende Garantien nach DSGVO für ein angemessenes Datenschutzniveau (wie Standardvertragsklauseln) bereitstellen.  

Eine Liste der zertifizierten Unternehmen und Organisationen finden Sie hier: https://www.dataprivacyframework.gov/s/participant-search  

Weitere Informationen: https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/17_Angemessenheitsbeschluss-EU-US-DPF.html 

 

Anpassung der Datenschutzhinweise im Unternehmen 

Auf jeden Fall sollten Sie Ihre Datenschutzhinweise aktualisieren: Wenn Daten an US-Unternehmen übermittelt werden (z.B. beim Besuch der Webseite), muss der Verantwortliche (Betreiber der Website) darüber informieren, ob diese Datenübermittlung auf den Angemessenheitsbeschluss gestützt wird oder auf eine andere Schutzmaßnahme (z.B. Standardvertragsklauseln). Die bisher genutzten datenschutzrechtlichen Garantien müssen überprüft und ggf. durch den Angemessenheitsbeschluss ersetzt werden. 

Die Aktualisierung betrifft auch das Verzeichnis der Verarbeitungstätigkeiten: Hier sollten Sie bei Datenübermittlungen in die USA gegebenenfalls den Angemessenheitsbeschluss als Rechtsgrundlage dokumentieren. 

Bei Cookie-Bannern kann die Einwilligung in die Datenübermittlung bei der Übermittlung an zertifizierte US-Unternehmen entfallen, wenn darüber bisher die Einwilligung der Besucher für den Datentransfer in die USA eingeholt wurde.  

 

 

 

 

 

 

Gepostet in

Hinterlassen Sie einen Kommentar