Foto von Christian Wiediger und Nick Page auf Unsplash
Neuigkeit –
11.7.2023
Es war bekannt, dass mit dem „Trans-Atlantic Data Privacy Framework“ der neue Angemessenheitsbeschluss auf EU-Ebene bereits beraten wird. Jetzt ging alles ganz schnell: Am 10.07.2023 hat die Europäische Kommission den Angemessenheitsbeschluss angenommen. Damit wird die Zusammenarbeit mit US-Dienstleistern bei der Datenverarbeitung wieder auf eine Rechtsgrundlage gestellt.
Unternehmen dürfen nur dann mit Unternehmen in einem Drittstaat zusammenarbeiten und personenbezogene Daten auf deren Servern verarbeiten, wenn dort ein datenschutzrechtliches Schutzniveau wie in der Europäischen Union über die Datenschutz-Grundverordnung (DSGVO) besteht. Die Voraussetzung ist zum Beispiel erfüllt, wenn die EU-Kommission einen Angemessenheitsbeschluss zu einem bestimmten Drittstaat erlassen hat. Die aktuelle Liste der Länder mit Angemessenheitsbeschluss finden Sie hier.
Das sog. Privacy Shield war ein solcher Angemessenheitsbeschluss, der jedoch vom Europäische Gerichtshof mit Urteil vom 16.07.2020 in der Rechtssache C-311-/18 Facebook Ireland und Schrems für unzulässig erklärt worden war. Grund hierfür waren u. a. die Zugriffrechte von US-Behörden auf die Server von US-Unternehmen und damit auch auf die Daten von EU-Unternehmen.
In der Folge war der Einsatz von Diensten wie Google Analytics, Shopify, Office von Microsoft, Amazon Cloud usw. mit Rechtsunsicherheiten verbunden und wurde von den deutschen Gerichten und Datenschutzbehörden als rechtswidrig eingestuft.
Nunmehr wurde mit dem „Trans-Atlantic Data Privacy Framework“ ein neues Abkommen mit den USA ausgehandelt, das den Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt und u.a. eine gerichtliche Datenschutzüberprüfung (Data Protection Review Court, DPRC) vorsieht, die Einzelpersonen in der EU einleiten können.
Den neuen Angemessenheitsbeschluss finden Sie hier.
Das neue Datenschutzabkommen soll ab jetzt regelmäßig durch die EU-Kommission und Vertretern der europäischen Datenschutzbehörden sowie den zuständigen US-Behörden überprüft werden. Die erste Überprüfung soll binnen eines Jahres nach dem Inkrafttreten des Angemessenheitsbeschlusses erfolgen, um zu ermitteln, ob alle einschlägigen Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.
Nein, nicht automatisch. Das neue „Trans-Atlantic Data Privacy Framework“ gilt nicht automatisch für alle US-Unternehmen und für die gesamten USA. Zunächst müssen sich US-Dienstleister nach dem Abkommen zertifizieren lassen, womit in Kürze zu rechnen ist, denn Anbieter wie Microsoft, Meta werden bereits in den Startlöchern stehen. Zuständig ist das US-Handelsministerium (Department of Commerce). Hier wird es auch eine Datenbank geben, in der die zertifizierten Unternehmen eingetragen und recherchiert werden können.
Unternehmen sollten zunächst überprüfen, mit welchen US-Dienstleistern sie zusammenarbeiten und dabei personenbezogene Daten auf deren Servern verarbeiten. Sobald die US-Unternehmen zertifiziert sind, kann die Datenverarbeitung auf das neue „Trans-Atlantic Data Privacy Framework“ gestützt werden. Dann sind die Informationen zur Rechtsgrundlage des Datentransfers in ein Drittland wie in der Datenschutzinformation auf der Webseite oder im Verarbeitungsverzeichnis zu aktualisieren.
Sabine Heukrodt-Bauer, LL.M.Fachanwältin für IT-Recht,
Fachanwältin für gewerblichen Rechtsschutz,
Rechtsanwältin, Partnerin
