Datenschutz Verstehen – Das neue Datenschutzabkommen zwischen EU und der USA.
Einleitung
Der grundlegende Konflikt, der sich aus dem Datenaustausch zwischen Unternehmen der EU und den USA ergibt, lag in den unterschiedlichen rechtlichen und kulturellen Auffassungen von Datenschutz und Privatsphäre. Doch dieser Konflikt soll sich nun lösen durch die Verabschiedung des EU-US Data Privacy Frameworks am 10.07.2023.
In diesem Beitrag werden wir die Probleme und Herausforderungen des Datenaustauschs zwischen der EU und den USA im Licht der DSGVO näher beleuchten, die Auswirkungen auf Unternehmen durch den neuen Angemessenheitsbeschluss untersuchen und mögliche Lösungswege für einen Datenaustausch skizzieren.
Was ist das EU-US Data Privacy Framework?
Die Europäische Kommission hat am 10.07.2023 den Angemessenheitsbeschluss für das transatlantische EU-US-Datenschutzabkommen angenommen. Der Beschluss kommt zu dem Schluss, dass die Vereinigten Staaten ein angemessenes Schutzniveau, vergleichbar mit dem der Europäischen Union, für personenbezogene Daten gewährleisten, die auf der Grundlage des neuen Datenschutzabkommens aus der EU an US-Unternehmen übermittelt werden.
Das neue Datenschutzabkommen zwischen der EU und den USA führt neue verbindliche Garantien ein, um allen vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen. Dazu gehören die Beschränkung des Zugriffs von US-Geheimdiensten auf EU-Daten (notwendige und verhältnismäßige Maß) sowie die Einrichtung eines Datenschutzprüfungsgerichts, zu dem EU-Bürger Zugang haben. Der neue Rahmen bringt erhebliche Verbesserungen im Vergleich zu dem Mechanismus, der unter dem “Privacy Shield” bestand. Stellt das DPRC beispielsweise fest, dass Daten unter Verstoß gegen die neuen Garantien erhoben wurden, kann es die Löschung der Daten anordnen. Die neuen Garantien im Bereich des staatlichen Zugriffs auf Daten werden die Verpflichtungen ergänzen, die US-Unternehmen, die Daten aus der EU importieren, eingehen müssen.
Sind Datenübermittlungen in die USA nun sicher?
Auf der Grundlage des neuen Angemessenheitsbeschlusses i.S.d. Art. 45 Abs. 1 DSGVO können personenbezogene Daten aus der EU an US-Unternehmen, die an dem Rahmen teilnehmen, übermittelt werden, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen.
Allerdings ist es wichtig, darauf zu achten, ob ein US-Unternehmen tatsächlich dem EU-US Data Privacy Framework beigetreten ist. Das ist nämlich nicht automatisch der Fall. Unternehmen aus der EU müssen US-Unternehmen dahingehend prüfen, weil es eine öffentliche Liste der zertifizierten US-amerikanischen Unternehmen geben wird.
Unternehmen aus den USA können dem EU-US-Datenschutzrahmen beitreten, indem sie sich verpflichten, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten, z.B. die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind.
Was ist ein Angemessenheitsbeschluss?
Ein Angemessenheitsbeschluss ist eine Entscheidung der Europäischen Kommission, in der festgestellt wird, dass ein Land außerhalb der EU oder eine internationale Organisation ein angemessenes Schutzniveau für personenbezogene Daten bietet, das mit dem in der EU vergleichbar ist. Dieser Beschluss wird gemäß Artikel 45 DSGVO erlassen.
Ein Angemessenheitsbeschluss ermöglicht den freien Datenverkehr von personenbezogenen Daten aus den EU-Mitgliedstaaten zu dem Drittland oder der internationalen Organisation, ohne dass zusätzliche Garantien oder Genehmigungen erforderlich sind. Es erleichtert also den Datenaustausch und die Geschäftstätigkeit von Unternehmen, die auf internationaler Ebene tätig sind.
Um einen solchen Beschluss zu erlassen, bewertet die Europäische Kommission verschiedene Faktoren, darunter die Rechtsstaatlichkeit des Drittlandes, die Zugangsrechte und der Rechtsschutz der Behörden für personenbezogene Daten, die Datenschutzbestimmungen des Landes, die Durchsetzung dieser Vorschriften und die internationalen Verpflichtungen des Landes in Bezug auf den Schutz der Privatsphäre und der personenbezogenen Daten.
Wenn die Kommission zu dem Schluss kommt, dass das Drittland ein angemessenes Schutzniveau bietet, wird der Angemessenheitsbeschluss angenommen. Es sollte jedoch beachtet werden, dass diese Beschlüsse regelmäßig überprüft werden, um sicherzustellen, dass das angemessene Schutzniveau aufrechterhalten wird. Bei Änderungen der Gesetzgebung oder Praxis im Drittland, die das Schutzniveau beeinträchtigen könnten, kann der Angemessenheitsbeschluss aufgehoben oder ausgesetzt werden.
Können weiterhin die Standarddatenschutzklauseln vereinbart werden?
Unternehmen aus der EU können weiterhin die Datenübermittlung in die USA durch geeignete Garantien absichern. Hierzu hat sich der Abschluss der veröffentlichten Standarddatenschutzklauseln der EU-Kommission als oft genutzte Garantie durchgesetzt. Die Vereinbarung der Standarddatenschutzklauseln ist allerdings nicht mehr zwingend notwendig, wenn das US-Unternehmen nach dem neuen EU-US-Datenschutzabkommen zertifiziert ist.
Sollten die Standarddatenschutzklauseln verwendet werden, so muss das EU-Unternehmen ein sogenanntes Transfer-Impact-Assessment (TIA) durchführen. Diese Risikobewertung ist sehr umfassend. Der neue Angemessenheitsbeschluss für die USA wird die Ergebnisbewertung der TIA allerdings erleichtern.
Vergleich Standarddatenschutzklauseln und Angemessenheitsbeschluss
Nachfolgend vergleichen wir die beiden Möglichkeiten zur Absicherung der Datenübermittlungen zwischen EU-Unternehmen und US-Unternehmen und zeigen die Vor- und Nachteile auf.
Standarddatenschutzklauseln (SCC) | Angemessenheitsbeschluss | |
Definition | Vertragliche Klauseln, die von der EU-Kommission genehmigt wurden und welche die Übertragung personenbezogener Daten an Verantwortliche oder Auftragsverarbeiter in unsichere Drittländer ermöglichen. | Eine Entscheidung der Europäischen Kommission, dass ein Drittland ein angemessenes Datenschutzniveau bietet. |
Voraussetzung | Die SCC müssen in Verträgen zwischen dem Datenexporteur in der EU und dem Datenimporteur im Drittland verwendet werden. | Ein umfassender Prozess der Überprüfung und Entscheidung durch die Europäische Kommission, ob das Drittland ein angemessenes Datenschutzniveau bietet. |
Wirkung | Daten können auf der Grundlage dieser Klauseln übertragen werden, sofern sie in den Verträgen zwischen dem EU-Datenexporteur und dem Datenimporteur im Drittland explizit vereinbart werden. | Ermöglicht den freien Austausch von personenbezogenen Daten vom EU-Gebiet zu dem Drittland oder der Organisation ohne weitere Sicherheitsmaßnahmen. Im Falle des EU-US-Datenschutzabkommens müssen die US-Unternehmen explizit am Abkommen teilnehmen. |
Flexibilität | Bieten eine flexible Lösung für den Datentransfer, da sie für unterschiedliche Kontexte und Verhältnisse angepasst werden können. | Weniger flexibel, da sie von der Europäischen Kommission auf der Grundlage einer umfassenden Bewertung des Datenschutzniveaus im Drittland erlassen werden. |
Anwendungsbereich | Können auf Einzelfälle angewendet werden und sind weniger abhängig von den allgemeinen Datenschutzgesetzen im Drittland. | Bezieht sich auf alle Datenübertragungen an das betreffende Drittland, nicht nur auf einzelne Fälle. |
Überprüfung und Aufrechterhaltung | Die Einhaltung der SCC muss ständig von den Vertragsparteien überwacht werden. | Die Europäische Kommission überprüft regelmäßig, ob das angemessene Datenschutzniveau aufrechterhalten wird. |
Rechtssicherheit | Kann bei Bedarf angepasst werden, was zu Unsicherheiten führen kann. | Bietet höhere Rechtssicherheit, da sie auf einer Entscheidung der Europäischen Kommission basiert. |
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.