EU-US Data Privacy Framework – Neuer Angemessenheitsbeschluss für US-Datentransfer steht!

Stefan Evertz M.Sc.
Geschäftsführer
Datenschutzbeauftragter TÜV

Seit der EuGH das Privacy Shield im Jahr 2020 für unwirksam erklärt hat (Urteil vom 16.07.2022 – C-311/18), da weitgehende Befugnisse von US-Behörden (vor allem der Geheimdienste) bestanden, waren die Übermittlung von personenbezogenen Daten in die USA nicht bzw. nur unter enormen Aufwand und in Ausnahmefällen möglich.

Dieser Zustand – den einige Websitebetreiber (und auch wir) verflucht haben – hat nun ein Ende!

Gestern (10.07.2023) hat die EU-Kommission einen neuen Angemessenheitsbeschluss für das sogenannte „EU-US Data Privacy Framework“, als Nachfolgeabkommen des Privacy Shields erlassen und somit den Datentransfer an US-Unternehmen wieder erleichtert.

Alle Hintergründe hierzu und ab wann eine Datenübermittlung in die USA wieder rechtskonform möglich ist, haben wir nachfolgend für Sie zusammengefasst.

Ab wann gilt das „EU-US Data Privacy Framework“?

Ab sofort, aber das ist noch kein Grund die komplette Datenschutzerklärung zu ändern und alle Einwilligungstatbestände aufzulösen, denn der EU-US Data Privacy Framework gilt zwar als anerkannte Rechtfertigung von Datenübermittlungen an US-Unternehmen, allerdings nur an am neuen Datenschutzrahmen teilnehmende Unternehmen. 

Nur zertifizerte Unternehmen sind umfasst!

Der Angemessenheitsbeschluss der EU-Kommission erfasst nicht die Datenübermittlungen an US-Unternehmen generell, sondern nur an zertifizerte Unternehmen.

Bedeutet, man muss prüfen, ob das Unternehmen an welches Daten gesendet werden sollen entsprechend an dem EU-US Data Privacy Framework teilnimmt. Es war anzunehmen, dass es hierzu eine entsprechende Website geben wird, auf der man dies einsehen kann (analog zum Privacy Shield Abkommen). Eine solche Liste existiert heute (11.07.2023) noch nicht, sodass man dies entsprechend abwarten muss, um Änderungen an der Website vorzunehmen.

Gemäß dem US-Wirtschatfsministeriums wird in den kommenden Tagen jedoch eine entsprechend offizielle Website online geschaltet, auf der aktive Zertifizierungen von US-Unternehmen nach dem EU-US Data Privacy Framework veröffentlicht werden.

Was ist nun zu tun?

Datenschutzerklärungen von Websites die US-Tools einsetzen, müssen nun aktualisiert werden.

Zudem ist zu prüfen, ob entsprechende Einwilligungen in die Nutzung von US-Tools entfallen können. Zu beachten ist, das dies immer individuell und einzelfallbezogen geprüft werden muss, da z.B. ein US-Tool, welches Informationen in der Endeinrichtung des Endnutzers speichert (z.B Cookies) nach § 25 TTDSG weiterhin einwilligungsbedürftig bleibt, allerdings dann nur noch für das Setzen von Cookies und nicht mehr zusätzlich für die Übertragung der Daten in die USA.