Die Übermittlung von personenbezogenen Daten in die USA war nicht nur für uns Datenschützer, sondern auch für zahlreiche Unternehmen in den vergangenen Jahren ein Dauerbrenner. Die früheren Regelungen „Safe Harbour“ und „Privacy Shield“, die den Transfer personenbezogener Daten in die USA relativ einfach ermöglicht hatten, waren beide vor dem Europäischen Gerichtshof (EuGH) gescheitert (Sie erinnern sich: die Urteile Schrems I und Schrems II). Damit war es für Unternehmen in den letzten Jahren äußerst aufwendig und schwierig, personenbezogene Daten DSGVO-konform in die USA zu übermitteln, die nach Fall der Regelungen als ein sogenannter „unsicherer Drittstaat“ galten. Das machte die Durchführung von Transfer Impact Assessments und den Abschluss von Standardvertragsklauseln erforderlich, z.B. bei der Nutzung von Softwareprodukten US-amerikanischer Hersteller.
Jetzt soll alles wieder einfacher werden: Am 11.7.2023 hat die Europäische Kommission einen neuen Angemessenheitsbeschluss für die USA erlassen: Das „EU-US Data Privacy Framework“ (siehe Presseerklärung der EU-Kommission). Die EU-Kommission stellt damit fest, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens an US-Unternehmen übermittelt werden.
Mit dem Angemessenheitsbeschluss können ab sofort hierauf gestützt personenbezogene Daten aus der EU in die USA übermittelt werden, ohne dass weitere Instrumente (z.B. Standardvertragsklauseln) oder zusätzliche Maßnahmen erforderlich sind. Voraussetzung ist jedoch, dass die US-Unternehmen, an die übermittelt werden soll, auch unter dem EU-US Data Privacy Framework zertifiziert sind.
US-Unternehmen können sich dem EU-US Data Privacy Framework anschließen, indem sie sich verpflichten, detaillierte Datenschutzpflichten zu erfüllen. Es gibt auch bereits eine Webseite, auf der die die teilnehmenden Unternehmen nach Abschluss des Teilnahmeverfahrens veröffentlicht werden.
(https://www.dataprivacyframework.gov/s/ ).
Was heißt das jetzt für Sie als Unternehmerin und Unternehmer?
Zunächst einmal müssen Sie nicht aktiv werden, da die US-Unternehmen sich erst zertifizieren lassen müssen. Zahlreiche US-Unternehmen haben bereits angekündigt, das zu wollen. Sind die US-Unternehmen, an die Sie personenbezogene Daten übermitteln, schließlich zertifiziert, sind auch dann zunächst keine weiteren Aktionen Ihrerseits erforderlich. Nur beim Transfer an US-Unternehmen, die nicht zertifiziert sind, werden auch in Zukunft die Durchführung von Transfer Impact Assessments und der Abschluss von Standardvertragsklauseln erforderlich sein.
Wird im dritten Anlauf alles gut? Ob der Angemessenheitsbeschluss diesmal Bestand haben wird, hat im Zweifel der Europäische Gerichtshof zu entscheiden. Der Jurist und Datenschutzaktivist Maximilian Schrems hat bereits angekündigt, wieder eine Klage einreichen zu wollen. Es bleibt also spannend ….
Klingt kompliziert? Wir helfen gerne!
Bitte beachten Sie, dass dieser Newsletter der Information dient und keine Rechtsberatung darstellt!