Internationaler Datentransfer und der Angemessenheitsbeschluss
Ein frisches Kapitel in der Datenschutzlandschaft ist aufgeschlagen worden, da die Europäische Union und die Vereinigten Staaten ein neues Abkommen im Rahmen des EU-U.S. Data Privacy Frameworks vereinbart haben. Dieses bahnbrechende Abkommen bestätigt zertifizierten Unternehmen in den USA ein angemessenes Datenschutzniveau und ebnet den Weg für die unkomplizierte Übermittlung personenbezogener Daten aus der EU in die USA, ohne dass zusätzliche Garantien erforderlich sind. Es sei jedoch darauf hingewiesen, dass diese Regelung ausschließlich für Organisationen gilt, die sich dem EU-U.S. Data Privacy Framework anschließen. Siehe hierzu auch unseren letzten Artikel vom 25.07.2023.
Dieses neu etablierte Abkommen stellt eine lange erwartete Rechtsgrundlage für Unternehmen dar, die bisher nach einem festen rechtlichen Rahmen gesucht haben, um personenbezogene Daten sicher in die USA zu übertragen. Nichtsdestotrotz steht außer Frage, dass diese bahnbrechende Neuregelung erneut einer sorgfältigen gerichtlichen Überprüfung unterzogen werden wird.
Hier sind einige wesentliche Schritte und Überlegungen, die Sie als Unternehmer und Verantwortlicher bei der Anwendung dieses neuen Datenschutzabkommens berücksichtigen sollten:
- Es ist von großer Bedeutung, kritisch zu prüfen, ob das US-Unternehmen Subdienstleister in anderen Drittländern einsetzt. Falls dies der Fall ist, sollte in Frage gestellt werden, ob ausreichende Datenschutzgarantien vorhanden sind und ob gegebenenfalls ein Transfer-Impact-Assessment (TIA) durchgeführt wurde.
- Gegebenenfalls müssen die Informationspflichten, die Verzeichnisse der Verarbeitungstätigkeiten und die Datenschutzerklärung(en) angepasst werden, um der Übermittlung in Drittländer gemäß den Bestimmungen des neuen Abkommens gerecht zu werden.
- Unternehmen, die von diesem neuen Abkommen Gebrauch machen möchten, sollten in Erwägung ziehen, bestehende Standardvertragsklauseln (SCC) zu kündigen. (Klausel 16 e) der SCC sieht vor, dass diese weiterhin gültig sind, bis eine der Parteien die Zustimmung widerruft). Eventuell wird ein neuer Auftragsverarbeitungsvertrag erforderlich sein, falls dieser nicht bereits existiert.
Für Dienstleister, die nicht auf der Liste des U.S. Department of Commerce gelistet sind, gelten besondere Maßnahmen:
- Stellen Sie sicher, dass hinreichende Datenschutzgarantien (gemäß Artikel 46 der Datenschutz-Grundverordnung (DSGVO)), wie zum Beispiel SCC, vorhanden sind.
- Führen Sie eine sorgfältige Bewertung im Rahmen eines Transfer-Impact-Assessments (TIA) durch, um sicherzustellen, dass die personenbezogenen Daten im Empfängerland einem äquivalenten Datenschutzniveau wie in der EU unterliegen. Ergreifen Sie gegebenenfalls zusätzliche Maßnahmen, um den Schutz der Betroffenendaten zu gewährleisten.
Diese wegweisende Entwicklung im Bereich des Datenschutzes bietet Ihrem Unternehmen neue Möglichkeiten und Herausforderungen gleichermaßen. Die Implementierung erfordert eine gründliche Prüfung, Anpassung und Einhaltung der rechtlichen Bestimmungen, um die Integrität und Sicherheit der personenbezogenen Daten zu gewährleisten. Weitere Informationen und Aktualisierungen zum aktuellen Stand des EU-U.S. Data Privacy Frameworks finden Sie unter den unten angegebenen Links.
Wir unterstützen Sie gerne bei der Prüfung und Umsetzung, falls eine der beschriebenen Situationen auf Sie zutrifft.
Überprüfen Sie ggf. auch ob Ihr Dienstleister auf der Liste des U.S. Department of Commerce gelistet ist. Bitte beachten Sie, dass hier auch die Datenweitergabe durch z.B. Google, Microsoft, Meta (Facebook, Instagram) etc. betroffen sind.