Neuer Datenschutzrahmen EU-USA
Die Europäische Kommission hat am 10.07.2023 auf Grundlage des Art. 45 DSGVO einen Angemessenheitsbeschluss für den transatlantischen Datenschutzrahmen EU-USA (EU-US Data Privacy Framework) angenommen, der darauf abzielt, einen sicheren und vertrauenswürdigen Datenverkehr zwischen der Europäischen Union und den Vereinigten Staaten zu gewährleisten.
Es handelt sich um den dritten Anlauf, die USA als sicheres Drittland für die Übertragung von personenbezogenen Daten einzustufen. Die beiden Vorläufer, das „Safe-Harbor-Abkommen“ und das „EU-US Privacy Shield“ hatte der Europäische Gerichtshof (EuGH) in den Entscheidungen „Schrems I“ und „Schrems II“ für ungültig erklärt. Laut der Europäischen Kommission erfüllt der nun angenommene Rechtsrahmen mit verbindlichen Garantien die Anforderungen des EuGH, der insbesondere den weitreichenden Zugang von US-Nachrichtendiensten zu EU-Daten kritisiert hatte.
US-Unternehmen können sich dem Datenschutzrahmen EU-USA anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzbestimmungen verpflichten. Hierunter fällt beispielsweise die Pflicht, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind oder den fortlaufenden Schutz von personenbezogenen Daten zu gewährleisten, wenn sie an Dritte weitergegeben werden. Bestimmte Garantien sollen den Zugang von US-Behörden zu übermittelten Daten auf ein notwendiges und verhältnismäßiges Maß beschränken.
Ob der Datenschutzrahmen EU-USA einer erneuten rechtlichen Prüfung durch den EuGH standhalten wird, bleibt abzuwarten. Unternehmen sollten sich jedoch in jedem Fall den datenschutzrechtlichen Anforderungen bei Datenübermittlungen personenbezogener Daten in Drittstaaten bewusst sein. Praktische Bedeutung hat dies zum Beispiel für jeden Websitebetreiber bereits bei der Verwendung von Analytics-Diensten, die marktführend von Unternehmen mit US-Bezug angeboten werden und möglicherweise personenbezogene Daten von Websitebesuchern verarbeiten. Gleiches gilt für die Einbindung sonstiger Drittanbieter-Dienste auf Websites sowie für das Cloud Computing.
Gerne unterstütze ich Sie bei der Erfüllung der notwendigen Pflichten, um den Datentransfer rechtssicher zu gestalten.