Angemessenheitsbeschluss – DSGVO Datentransfer in die USA

EU erlässt Angemessenheits Beschluss für Datentransfers in die USA

Am 10. Juli 2023 hat die Europäische Kommission mit einem Durchführungsrechtsakt gemäß Art. 45 Abs. 3 DSGVO einen bedeutenden Schritt im Datenschutz unternommen: Sie erließ einen neuen Angemessenheitsbeschluss für den Datentransfer in die USA. Dieser Beschluss trägt dazu bei, ein angemessenes Datenschutzniveau für die Übermittlung personenbezogener Daten aus der EU/EWR in Drittländer sicherzustellen. Doch bevor wir uns zu sehr über diese Neuigkeit freuen, sollten wir die Details und Feinheiten dieses Beschlusses genauer betrachten.

Der Zweck des Angemessenheits Beschlusses

Der Angemessenheitsbeschluss ist ein entscheidendes Instrument, um sicherzustellen, dass personenbezogene Daten, die aus der EU/EWR in Drittländer übertragen werden, angemessen geschützt sind. Dies ist von enormer Bedeutung, da Datenschutz und -sicherheit in einer digitalen Welt, in der Daten global fließen, einen hohen Stellenwert einnehmen.

Der neue Angemessenheitsbeschluss stützt sich auf das “EU-U.S. Data Privacy Framework”, eine etablierte Grundlage für den Datentransfer in die USA. Dies soll es ermöglichen, personenbezogene Daten in die USA zu übertragen, ohne zusätzliche Schutzvorkehrungen oder Genehmigungen einholen zu müssen.

Die Einschränkung: 

Zertifizierung nach EU-U.S. Data Privacy Framework

Hier kommt jedoch der Haken:

Der neue Angemessenheitsbeschluss gilt ausschließlich für Datenempfänger, die gemäß dem “EU-U.S. Data Privacy Framework” zertifiziert sind. Das bedeutet, nicht jedes Unternehmen in den USA ist automatisch qualifiziert, personenbezogene Daten aus der EU zu empfangen.

Datenübermittlungen an US-Unternehmen, die nicht in der Liste zum Datenschutzrahmen EU-USA verzeichnet sind, können nicht auf den Angemessenheitsbeschluss gestützt werden. Solche Übermittlungen erfordern weiterhin geeignete Garantien nach Art. 46 DS-GVO (z. B. Standardvertragsklauseln), den Rückgriff auf verbindliche interne Datenschutzvorschriften nach Art. 47 DS-GVO (Binding Corporate Rules) oder das Vorliegen eines Ausnahmetatbestands nach Art. 49 DS-GVO im Einzelfall. 

Um festzustellen, ob ein Datenempfänger auf der Liste der zertifizierten Firmen steht, hat das U.S. Handelsministerium, auch bekannt als das “U.S. Department of Commerce”, eine Liste bereitgestellt, die unter folgendem Link einsehbar ist: Liste 

Unsere Empfehlung und Anmerkungen

Wenn Sie personenbezogene Daten in die USA übertragen müssen, ist es ratsam, zunächst zu überprüfen, ob der beabsichtigte Datenempfänger auf der Liste der zertifizierten Firmen steht.

Doch Vorsicht:

Die Zertifizierung ist kein Selbstläufer, und nicht jedes Unternehmen wird sie erhalten.

Steht der Datenempfänger nicht auf der Zertifizierungsliste, sollten Sie weiterhin spezifische Prüfungen durchführen und geeignete Standarddatenschutzklauseln in Ihre Verträge aufnehmen. Hierbei kann auch ein “Transfer Impact Assessment” (TIA) hilfreich sein, um die Risiken des Datentransfers zu bewerten. Alternativ können Sie erwägen, auf einen in der EU ansässigen Datenempfänger umzusteigen.

Es ist wichtig zu bedenken, dass frühere Abkommen bezüglich Datentransfers in die USA, wie das EU-US Privacy Shield, vom Europäischen Gerichtshof aufgrund grundlegender Mängel für ungültig erklärt wurden. Es besteht daher die Möglichkeit, dass auch der “neue” Angemessenheitsbeschluss einer rechtlichen Prüfung unterzogen wird.

Fazit

Der Datenschutz im transatlantischen Datenverkehr bleibt spannend und herausfordernd. Unternehmen, die personenbezogene Daten in die USA übertragen, sollten weiterhin äußerst umsichtig agieren und gründliche Überprüfungen vornehmen, um einen reibungslosen und rechtlich konformen Datentransfer zu gewährleisten. Die Entwicklungen in diesem Bereich sind noch lange nicht abgeschlossen, und die Sicherheit und der Schutz von Daten bleiben von zentraler Bedeutung in der globalen Wirtschaft.

Unser Tipp:

Wie Sie vorgehen sollten bei Datentransfer in die USA:

1. Überprüfen Sie, ob das US Unternehmen auf der Liste der zertifizierten Unternehmen steht (siehe Liste oben)

2. Nehmen Sie den Angemessenheits Beschluss in Ihre Datenschutzerklärung auf

3. Ziehen Sie Ihren Datenschutz -beauftragten zu Rate 

Kostenlose Erstberatung
Nutzen Sie unsere kostenlose Erstberatung, um weitere Informationen zu erhalten, Fragen zu klären und gemeinsam mit unseren Experten Ihren individuellen Bedarf zu ermitteln. Wir rufen Sie innerhalb der nächsten 48 Std zurück. (Montags – Freitags 9:00 – 19:00 Uhr)
Bitte aktiviere JavaScript in deinem Browser, um dieses Formular fertigzustellen.
Ansprechpartner
Zu welchem Thema möchten Sie beraten werden?
Datenschutzhinweis
Die vorstehend erhobenen personenbezogenen Daten werden nur für diese Korrespondenz mit Ihnen und zu dem Zweck verarbeitet, zu dem Sie uns die Daten jeweils im Rahmen dieser Kommunikation überlassen haben – zum Beispiel zur Bearbeitung Ihrer Anfragen einschließlich etwaiger Anschlussfragen oder um auf Ihren Wunsch mit Ihnen Kontakt aufzunehmen. Grundlage dieser Verarbeitung Ihrer personenbezogenen Daten ist Art. 6 Abs. 1 S. 1 lit. b) DSGVO, soweit Sie diese personenbezogenen Daten zwecks Anbahnung eines Vertragsverhältnisses mit uns eingeben oder ein Vertragsverhältnis mit uns bereits besteht. Nur in diesem Fall ist die Eingabe von personenbezogenen Daten erforderlich im Sinne von Art. 13 Abs. 2 e) DSGVO. Andernfalls erfolgt diese Speicherung und Verwendung aufgrund von Art. 6 Abs. 1 S. 1 lit. f) DSGVO, wobei unser berechtigtes Interesse die sorgfältige Bearbeitung Ihres Anliegens ist. Wir löschen Ihre diesbezüglichen Daten, wenn der Zweck, zu dem Sie uns Ihre Daten mitgeteilt haben, erfüllt oder erledigt ist und wir nicht aus gesetzlichen Gründen zur weiteren Speicherung berechtigt oder verpflichtet sind. Bitte beachten Sie auch unsere Datenschutzbestimmungen.