Neue EU-US-Datenübertragungsvereinbarung – Sind US-Anbieter wieder GDPR-konform?

Am 13. Dezember hat die Europäische Kommission das Verfahren zur Annahme eines Angemessenheitsbeschlusses für den EU-US-Datenschutzrahmen eingeleitet.

Warum das alte Privacy Shield für ungültig erklärt wurde

Ein Angemessenheitsbeschluss (über den wir bereits berichtet haben) ist eine formelle Entscheidung der EU, mit der anerkannt wird, dass ein anderes Land, ein anderes Gebiet, ein anderer Sektor oder eine andere internationale Organisation ein gleichwertiges Schutzniveau für personenbezogene Daten bietet wie die EU.

Japan, Israel, das Vereinigte Königreich und einige andere
andere
haben bereits einen Angemessenheitsbeschluss, was bedeutet, dass diese Länder ungehindert Daten in die EU und aus der EU übermitteln können. Aber was ist mit den USA?

Zuvor gab es den EU-US-Datenschutzschild, der vom obersten EU-Gerichtshof im Jahr 2007 für ungültig erklärt wurde. 2020 in der Rechtssache
Schrems II
Entscheidung. Der Gerichtshof der Europäischen Union (EuGH) stellte fest, dass der Schutz personenbezogener Daten aufgrund des innerstaatlichen Rechts in den USA sowie des Zugriffs auf und der Verwendung von aus der EU übermittelten personenbezogenen Daten durch US-Behörden eingeschränkt ist.

Der unverhältnismäßige Zugriff der US-Sicherheitsdienste auf europäische Massendaten wurde erstmals 2013 von Edward Snowden aufgedeckt und war einer der Hauptgründe dafür, dass die Übermittlung personenbezogener Daten über den Atlantik als illegal eingestuft wurde. Das US-Rechtssystem erlaubte (damals) auch keine gerichtliche Anfechtung von Datenverarbeitungsfehlern, während der Rechtsweg ein zentrales EU-Prinzip ist.

Da die
Schrems II
Entscheidung mussten Unternehmen, die sich auf das Privacy Shield verlassen hatten, alternative Datenübertragungsmechanismen nutzen, um die EU-DSGVO einzuhalten.

Deshalb haben sich die Europäische Kommission und die US-Regierung beeilt, einen neuen Rechtsrahmen zu schaffen, der Rechtsunsicherheit für die Hunderte von Unternehmen (AWS, Google, Microsoft, Facebook, LinkedIn, Adobe – im Wesentlichen alle großen und kleinen Tech-Unternehmen) vermeiden würde, die im transatlantischen Handel mit einem Wert von einer Billion (!) tätig sind.

Da es keine praktikablen EU-Alternativen gibt, hat fast jedes Unternehmen mit den rechtlichen Unsicherheiten der Datenübertragung zu kämpfen und stellt sich Fragen wie: „Ist es legal, Kundendaten in die USA oder sogar in ein AWS-Rechenzentrum in Amsterdam zu übertragen?“ oder „Kann das FBI, die CIA und/oder die NSA auf unsere Kundendaten zugreifen?“

Aktualisierung der Angemessenheitsentscheidung ab Dezember 2022/Januar 2023:

Glücklicherweise hält die Kommission den neuen, auf der US-Exekutivverordnung basierenden Rechtsrahmen für vergleichbar mit den europäischen Datenschutzstandards – das bedeutet, dass personenbezogene Daten von in der EU ansässigen Personen sicher und legal auf die andere Seite des Atlantiks übermittelt werden können.

Präsident Joe Biden unterzeichnete diese Durchführungsverordnung am 7. Oktober 2022, mit der im Wesentlichen die Verpflichtungen der USA im Rahmen des Transatlantischen Datenschutzrahmens umgesetzt werden. Die neuen Vorschriften sehen Folgendes vor:

  • Der Zugriff der US-Geheimdienste auf europäische Daten wird auf das notwendige Maß beschränkt
    notwendig und verhältnismäßig ist
    um die nationale Sicherheit zu schützen; und
  • Die EU-Bürger werden die Möglichkeit haben, bei einem unabhängigen und unparteiischen Beschwerdemechanismus Rechtsmittel gegen die Erhebung und Verwendung ihrer Daten durch die US-Geheimdienste einzulegen.
    unabhängigen und unparteiischen Rechtsbehelfsmechanismus
    die auch ein neu geschaffenes Gericht für die Überprüfung des Datenschutzes umfasst. Der Gerichtshof wird Beschwerden von Europäern unabhängig untersuchen und lösen, auch durch die Verabschiedung verbindlicher Abhilfemaßnahmen.

Wenn Sie Interesse haben, können Sie den vollständigen ersten Entwurf lesen
HIER
oder die
FRAGEN UND ANTWORTEN
für eine kürzere Zusammenfassung.

Die Veröffentlichung des Entscheidungsentwurfs ist nur der erste formale Schritt des Verfahrens, um offiziell zu erklären, dass ein ausländisches Land ein angemessenes Datenschutzniveau aufweist. Der nächste Schritt wird sein, dass der Europäische Datenschutzausschuss, in dem alle EU-Datenschutzbehörden vertreten sind, eine Stellungnahme abgibt.

Und das ist noch nicht alles: Nachdem der EU-Datenschutzausschuss eine Stellungnahme abgegeben hat, muss die Entscheidung vor der förmlichen Verabschiedung noch von einem Ausschuss gebilligt werden, der sich aus Vertretern der Mitgliedstaaten zusammensetzt. Die Kommission hofft, diese formelle Annahme bis zum Sommer 2023 zu erreichen.

In der Zwischenzeit können auch das EU-Parlament und der Rat die Entscheidung anfechten, wenn sie der Meinung sind, dass die Kommission ihre Befugnisse überschritten hat, so dass es interessant sein wird zu sehen, wie sich dieser Prozess entwickelt.

Wird die Entscheidung über die Angemessenheit der Daten bestätigt, muss sie in regelmäßigen Abständen überprüft werden, um sicherzustellen, dass die einschlägigen Elemente des US-Rechtsrahmens vollständig umgesetzt wurden und wirksam funktionieren. Diese Überprüfungen beginnen ein Jahr nach Erlass des Beschlusses.

Für den Fall, dass die Datenübertragungsvereinbarung vor Gericht angefochten und abgelehnt wird, ist es für Unternehmen ratsam, eine Ausweichklausel in Form einer
Standardvertragsklauseln
. Viele US-Anbieter bieten diese bereits in Form eines standardisierten Vertrags an, was eine legitime Ausweichmöglichkeit ist und bleiben wird. Und wenn Sie Ihren Mitbewerbern in Bezug auf Datenschutz und Anbieterbewertungen wirklich meilenweit voraus sein wollen, dann empfehlen wir Ihnen, unsere neue Plattform Ubiscore auszuprobieren. Mit einem Mausklick können Sie leicht feststellen, welche Anbieter welche Datenschutzkontrollen und Nachweise wie Standardvertragsklauseln anbieten.

Wir sammeln öffentlich zugängliche Daten zu Tausenden von US-Anbietern und können Ihnen objektive Datenschutz-KPIs geben, die zeigen, wie gut diese Anbieter in Ihr Unternehmen passen. Über unsere Plattform können Sie auch die Datenschutz- und Sicherheitskontrollen sowie die Zertifikate für jedes von Ihrem Unternehmen verwendete Tool einsehen – alles mit einem Mausklick.

Um mehr zu erfahren und noch heute einen kostenlosen Ubiscore zu erhalten, melden Sie sich einfach über den unten stehenden Link für unsere Plattform an.

Vielen Dank für die Lektüre und auf einen besseren Schutz der Privatsphäre. Wir freuen uns darauf, weitere Inhalte darüber zu verbreiten, wie Sie Kundendaten besser schützen können und wie eine solide Datenschutzstrategie das Wachstum Ihres Unternehmens fördern kann!

Wir werden auch weitere Informationen über den Prozess der Angemessenheitsentscheidung bereitstellen, sobald neue Entwicklungen eintreten.

 

Wenn Sie wissen möchten, wie Ihr Unternehmen im Vergleich zu den Branchen-Benchmarks beim Datenschutz abschneidet, testen Sie die Datenschutzpraktiken Ihres Unternehmens,
HIER KLICKEN
und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!