Am 10. Juli 2023 nahm die Europäische Kommission ihren Angemessenheitsbeschluss für den Datenaustausch zwischen der EU und den USA an. Er bezieht sich auf das amerikanische Data Privacy Framework (DPF). Die amerikanischen Behörden wollen nun die neuen Regelungen zügig umsetzen.
Datenschützer in Europa rieben sich verwundert die Augen – die Europäische Kommission hat die neuen amerikanischen Datenschutzregelungen, also das Data Privacy Framework, als mit dem europäischen Recht angemessen erklärt und somit als Rechtsgrundlage für die Übermittlung personenbezogener Daten aus Europa in die USA akzeptiert. Nun kämpfen die amerikanischen Behörden um die zügige Umsetzung der neuen Regelungen und die Unternehmen um eine baldige Zertifizierung.
Was der Angemessenheitsbeschluss bedeutet
Mit dem neuen Angemessenheitsbeschluss können personenbezogene Daten aus der EU an zertifizierte Unternehmen in den USA fließen, ohne dass zusätzliche Standardvertragsklauseln erforderlich sind. Weiterhin nötig bleibt jedoch der Abschluss eines Auftragsverarbeitungsvertrags nach Art. 28 der Datenschutzgrundverordnung (DSGVO), wie er mit jedem Dienstleister auch zu schließen ist.
Mit dem neuen DPF wurde das amerikanische Recht nachgebessert und der Angemessenheitsbeschluss der EU-Kommission ermöglicht. Das Abkommen umfasst folgende Änderungen:
- Begrenzung der Zugriffsrechte durch die amerikanischen Nachrichtendienste.
- Einrichtung eines amerikanischen Gerichts zur Überprüfung des Datenschutzes.
- Neue Rechte für EU-Bürger, etwa das Recht auf Zugang zu Daten oder das Recht auf Löschung unrichtiger oder unrechtmäßig gespeicherter Informationen.
- Die Gründung eines unabhängigen Streitbeilegungsgremiums.
Der europäische Verantwortliche für die Übertragung der Daten muss diese Rechte im Rahmen der Datenschutzhinweise an die Betroffenen kommunizieren. Welche Regeln genau gelten, sollte daher bereits im Auftragsverarbeitungsvertrag konkret mit Firmendaten und Beschwerdewegen benannt sein.
Was jetzt zu beachten ist
Die Datenübertragung an US-Dienstleister durch europäische Unternehmen ist künftig immer dann möglich, wenn die entsprechenden US-Organisationen entweder bereits unter dem EU-US-Data-Privacy-Framework oder dem immer noch gültigen Privacy-Shield zertifiziert und veröffentlicht sind. Die US-Unternehmen müssen diese Zertifizierung selbst initiieren und jährlich erneuern. Damit geht einher, dass auch der europäische Verantwortliche der Datenverarbeitung diese Zertifizierung jährlich erneut überprüfen muss. Eine Übersicht der zertifizierten Unternehmen wird demnächst auf einer Webseite des US-Handelsministeriums zu finden sein.
Große Konzerne wie Google, Microsoft oder Amazon werden die Zertifizierung voraussichtlich zeitnah vornehmen oder gar nicht benötigen. Für die bisher unter dem Privacy Shield in den USA bereits zertifizierten Unternehmen soll dies nach Auskunft des US-Handelsministeriums nicht erforderlich sein. Hier soll die Bezugnahme auf den neuen Angemessenheitsbeschluss ausreichen.
Auf was Unternehmen beim Datenaustausch achten sollten
Angebote von US-Unternehmen und Unternehmen ohne diese Zertifizierung und aus den anderen Drittstaaten ohne Angemessenheitsbeschluss wird es sicherlich weiterhin geben. Für europäische Anwender bedeutet das, dass sie auch künftig einen datenschutzrechtlichen Anpassungsbedarf haben.
Trotz der neuen Regelung bleiben viele Unsicherheiten. Denn die ersten gerichtlichen Klagen gegen den Angemessenheitsbeschluss werden bereits vorbereitet. „Ergänzende Standardvertragsklauseln könnten eine solidere Grundlage bei der Datenübertragung sein“, sagt Karsten Neumann, Datenschutzexperte bei Ecovis in Rostock, und weiter: „Da das Thema Datenschutz und Datenübertragung in die USA komplex ist, sollten Unternehmen rechtlichen Rat einholen.“
www.ecovis.com