,

EU-US Data Privacy Framework

Die EU-Kommission hat am 10. Juli 2023 ein neues Datenschutzabkommen zwischen den USA und der EU verabschiedet. Das Data Privacy Framework (DPF) benannte Abkommen ist bereits der dritte Anlauf, nachdem zwei Vorgängerregelungen vom Europäischen Gerichtshof gekippt wurden.

Von

Min Lesezeit

eu-usa-angemessenheitsbeschluss

Neues Datenschutzabkommen zwischen EU und USA

Dieser Beschluss stellt sicher, dass die USA ein angemessenes Datenschutzniveau für personenbezogene Daten gewährleisten. Der Beschluss betrifft die Datenübermittlung aus der EU an US-Unternehmen und ist damit für viele Unternehmen besonders praxisrelevant. Wichtig zu beachten ist, dass jeder verantwortliche Datenübermittler selbst prüfen muss, ob die Organisation, an welche die Daten übermittelt werden, auch unter dem EU-U.S.-Data-Privacy-Framework zertifiziert sind. Der Beschluss ist die Nachfolgeregelung zum Safe Harbor-Abkommens und des Privacy Shields.

Das neue Abkommen sieht vor, dass US-Geheimdienste nur dann auf die Daten von EU-Bürgern zugreifen dürfen, wenn es notwendig und verhältnismäßig ist. Außerdem soll ein Gericht zur Überprüfung des Datenschutzes eingerichtet werden.

Die EU-Kommission sieht in dem neuen Abkommen einen wichtigen Schritt zur Gewährleistung des Datenschutzes für EU-Bürger. Sie ist sich jedoch bewusst, dass das Abkommen erneut vom EuGH überprüft werden könnte.

Reaktionen auf das neue Abkommen

Die Reaktionen auf das neue Abkommen sind unterschiedlich. Der Digitalbranchenverband Bitkom begrüßt die neue Rechtssicherheit für Unternehmen. Die Sozialdemokraten im Europaparlament kritisierten das Abkommen als „nicht reformiert“ und „anfällig für Massenüberwachung“.

Ausblick

Es bleibt abzuwarten, ob das neue Abkommen vom EuGH bestätigt wird. Wenn nicht, könnte es zu weiteren Rechtsunsicherheiten bei der Datenübertragung von EU-Bürgern in die USA kommen.

Auf folgende Punkte müssen Sie achten

Sie müssen prüfen, ob die Organisation, an die Sie Daten in die USA übermitteln möchten, auch unter dem EU-U.S.-Data-Privacy-Framework zertifiziert ist.

Unter folgender Webadresse erhalten Sie offizielle Informationen zum TADPF und können nach zertifizierten Unternehmen suchen.

https://www.dataprivacyframework.gov/ 


Transparente Information:
Sie müssen Betroffene, z.B. im Rahmen einer Datenschutzerklärung, über die geplante Datenübertragung in ein Drittland informieren.


Anpassung vorhandener Dokumente:
Vorhandene Vereinbarungen mit Auftragsverarbeitern sowie im Verfahrensverzeichnis genannte Voraussetzungen für die Übermittlung in ein unsicheres Drittland müssen entsprechend angepasst werden.


Alternative Möglichkeiten:
Sollte das Unternehmen nicht zertifiziert sein, so benötigen Sie weiterhin andere andere Garantien. Hier kommen die Standardvertragsklauseln (SCC) in Verbindung mit einer TIA oder genehmigte Unternehmensregeln in Betracht. In Ausnahmefällen auch eine ausdrückliche Einwilligung der betroffenen Person oder andere Ausnahmen nach Art. 49 DSGVO.