Datenverarbeitung in USA und durch US-Unternehmen – Update Datenschutz 23006

Nach mehr als 2 Jahren Rechtsunsicherheit hat die Europäische Kommission am 10.07.2023 den Angemessenheitsbeschluss für den neuen Datenschutzrahmen EU-USA angenommen. Damit besteht für die USA wieder ein sogenanntes angemessenes Schutzniveau. Das Schutzniveau ist vergleichbar mit dem der Europäischen Union. Personenbezogene Daten können also nun wieder allein auf der Grundlage des neuen Angemessenheitsbeschlusses in die USA übermittelt werden. Weitere Datenschutzgarantien oder gar die Einwilligung sind nicht notwendig.

US-Unternehmen müssen sich Datenschutzrahmen anschließen

Voraussetzung für eine Datenübermittlung auf Basis des Beschlusses ist allerdings, dass sich das jeweilige US-Unternehmen dem neuen Datenschutzrahmen angeschlossen hat. Ihr müsst also vorher prüfen, ob das Unternehmen, welches ihr einsetzt, sich dem Rahmen angeschlossen hat. Die USA veröffentlichen dazu eine Liste mit allen Unternehmen, die sich dem Rahmen angeschlossen haben: https://www.privacyshield.gov/list.

Und nur um das noch einmal deutlich zu sagen, da hier schon die ersten Fragen aufkamen: Der Beschluss regelt die Frage, ob die Übertragung von personenbezogenen Daten in die USA oder auch Verarbeitung durch ein US-Unternehmen per se (wegen des potenziellen Einflusses der US-Sicherheitsbehörden) zulässig ist. Nicht geklärt sind damit eventuell bestehende andere Bedenken. Nehmen wir mal an, dass du einen Dienstleister nutzt und ausschließlich Bedenken hast, weil dieser ein US-Unternehmen ist. Das ist unter dem neuen Rahmen unproblematisch. Der Einsatz von Google Analytics ohne Einwilligung oder das Betreiben einer Facebook-Fanpage sind aber andere Themen.

Hintergrund

Der EUGH hatte in zwei Entscheidungen auf Betreiben von Max Schrems bestehende Beschlüsse für nichtig erklärt. Bereits 2015 wurde das fast 15 Jahre bestehende Safe Harbour Abkommen und dann 2020 auch das darauffolgende Privacy Shield für nichtig erklärt.

Der EuGH hatte dabei die fehlende Rechtssicherheit kritisiert. Der neue Datenschutzrahmen EU-USA legt verbindliche Garantien fest, um allen vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen. Ein zentraler Punkt ist die Beschränkung des Zugangs von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß. Außerdem wird ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen, zu dem auch Einzelpersonen in der EU Zugang haben. Das gab es bisher nicht.

Regelmäßige Überprüfung

Binnen eines Jahres, nach dem Inkrafttreten des Angemessenheitsbeschlusses, soll eine erste Kontrolle des Datenschutzrahmens erfolgen. Europäischen Kommission, Vertretern der europäischen Datenschutzbehörden sowie der zuständigen US-Behörden wollen dabei ermitteln, ob alle einschlägigen Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.

Diese Prüfung soll dann regelmäßig wiederholt werden.

Freude nur vorn kurzer Dauer?

Der Beschluss und der neue Datenschutzrahmen bringen wieder eine vorübergehende Rechtssicherheit. Die EU ist überzeugt, dass der neue Rahmen erhebliche Verbesserungen bringt. Max Schrems und NOYB sehen das ein wenig anders. Auf der Webseite haben diese bereits angekündigt, auch das aktuelle Framework vom EuGH überprüfen zu lassen.

Wir werden sehen, wie lange der Beschluss hält. Ich denke aber, dass wir vorerst einmal bisschen Ruhe haben werden. Und außerdem steht gar nicht fest, dass der EuGH den Beschluss erneut kassiert.

Warum du ein Verarbeitungsverzeichnis für den Datenschutz in deinem Unternehmen benötigstDas berechtigte Interesse im Sinne der DSGVO