HomeWissenVeröffentlichungenDatenübermittlung in die USA wieder einfacher zulässig
14.07.2023

Datenübermittlung in die USA wieder einfacher zulässig



Seit 10.07.2023 können personenbezogene Daten wieder auf Grundlage eines Angemessenheitsbeschlusses gemäß Art. 45 DSGVO an zertifizierte Unternehmen in den USA übermittelt werden. Nachdem die Vorgängerbeschlüsse "Safe Harbour" und "EU-US-Privacy-Shield" vom Gerichtshof der Europäischen Union (EuGH) im Oktober 2015 bzw. Juli 2020 für unwirksam erklärt worden waren, gibt es nun das "EU-US Data Privacy Framework".

1. Anpassung des Datenschutzniveaus in den USA

US-Präsident Joe Biden erließ im Oktober 2022 die "Executive Order on Enhancing Safeguards for United Sates Signals Intelligence Activities". Die Executive Order soll gewährleisten, dass sich der Zugriff auf personenbezogene Daten durch US-Geheimdienste künftig nur noch in einem verhältnismäßigen Rahmen abspielt. Zudem wurde mit dem "Data Protection Review Court" eine neue gerichtliche Instanz zur Prüfung unrechtmäßiger Überwachungsmaßnahmen ins Leben gerufen. Darüber hinaus stellt die Executive Order in Bezug auf die neuen Regelungen US- und Nicht-US-Bürger erstmals rechtlich gleich. Insgesamt nimmt die Executive Order damit die Kritikpunkte des EuGH an den letzten beiden Beschlüsse auf.

2. Folgen des Angemessenheitsbeschlusses

Der neue Angemessenheitsbeschluss hat zur Folge, dass personenbezogene Daten wieder ohne zusätzliche Garantien gegenüber zertifizierten Unternehmen in den USA offengelegt werden dürfen. Insbesondere müssen mit solchen Unternehmen wegen der Drittlandübermittlung keine Standarddatenschutzklauseln mehr vereinbart werden, wie dies seit Juli 2020 der Fall war. Es ist künftig wieder ausreichend, wenn die Datenoffenlegung als Solche gegenüber dem jeweiligen zertifizierten Unternehmen gemäß Art. 6 oder 9 DSGVO gerechtfertigt werden kann oder ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO vereinbart wurde. Dadurch wird der Datenaustausch mit zertifizierten Unternehmen erheblich vereinfacht.

3. Ausblick

Ob und wie lange durch den neuen Angemessenheitsbeschluss Rechtssicherheit für Datenübermittlungen in die USA geschaffen wurde, bleibt abzuwarten. Zumindest zwischen deutschen Datenschutzbehörden besteht keine Einigkeit darüber, ob die Executive Order in den USA ein mit der EU vergleichbares Datenschutzniveau gewährleistet. Dies wäre aber Voraussetzung für den Fortbestand des Angemessenheitsbeschlusses. Datenschutzaktivist Max Schrems, der schon die letzten beiden Abkommen vor dem EuGH gekippt hatte, kündigte bereits eine gerichtliche Überprüfung des neuen Angemessenheitsbeschlusses an. Zumindest für einen Zeitraum von vielleicht zwei oder drei Jahren sollte der neue Beschluss aber auf jeden Fall Bestand haben.

4. Was ist zu tun?

Vor jeder Übermittlung personenbezogener Daten in die USA (z. B. durch die Einbindung von Tools von US-Anbietern auf Webseiten) sollte geprüft werden, ob der Empfänger gemäß dem neuen Beschluss zertifiziert ist, da dies den Datentransfer sehr vereinfacht. Zu berücksichtigen ist dabei, dass eine Übermittlung schon vorliegen kann, wenn personenbezogene Daten nur zugänglich gemacht werden. Die Zertifizierungen überwacht das US Department of Commerce, welches voraussichtlich in Kürze eine entsprechende Liste veröffentlichen wird, wie dies bereits beim Vorgängerabkommen EU-US-Privacy-Shield der Fall war.

Falls personenbezogene Daten an zertifizierte Unternehmen in den USA übermittelt werden, sind die Datenschutzinformationen durch einen Hinweis auf die Zertifizierung des Unternehmens zu ergänzen. Anderenfalls verstoßen die Datenschutzinformationen gegen Art. 13 Abs. 1 lit. f DSGVO. Dies könnte von den Datenschutzbehörden beanstandet oder von Betroffenen abgemahnt werden.

WEITERE VERÖFFENTLICHUNGEN

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram