Jetzt Mitglied werden!
eRecht24.de

EU-US Data Privacy Framework

Privacy Shield 2.0 - Datentransfer in die USA

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(31 Bewertungen, 4.90 von 5)

Das Wichtigste in Kürze

  • Online-Shop- und Webseitenbetreiber aufgepasst: Die Nutzung von Tools und Diensten aus den USA (z.B. Mailchimp, Google Analytics, Zoom) ist bis auf weiteres unzulässig.
  • Nutzen Sie solche Tools und Dienste, dann übertragen Sie rechtswidrig Daten in die USA und müssen mit Abmahnungen und Bußgeldern rechnen.
  • Eine rechtssichere Datenübertragung in die USA können Sie nur mithilfe von speziellen Musterverträgen (Standardvertragsklauseln) gestalten.
Ich möchte mich umfassend informieren Ich möchte meine Webseite absichern

Worum geht's?

Nach der Safe-Harbour-Entscheidung und dem gescheiterten EU-U.S.-Privacy Shield haben sich die Präsidentin der Europäischen Kommission Ursula von der Leyen und der Präsident der USA Joe Biden auf einen neuen transatlantischen Datenschutzrahmen (EU-U.S. Data Privacy Framework) geeinigt. Mit diesem Datenschutzrahmen soll wieder eine Nutzung von Tracking-/ Analytic- und Marketing-Tools aus den USA problemlos zulässig sein. Daneben soll auch der Rückgriff auf Standardvertragsklauseln der Vergangenheit angehören. Doch bis dahin übertragen Sie personenbezogene Daten rechtswidrig in die USA, wenn Sie U.S.-Tools nutzen, die eben solche Daten in die USA senden.

Wie Sie solche U.S.-Tools oder auch U.S.-Cloud-Dienste rechtssicher anbieten oder selbst nutzen, erfahren Sie in diesem Beitrag. Wir zeigen Ihnen, wie Sie einerseits personenbezogene Daten sicher und mithilfe von Standardvertragsklauseln in die USA übermitteln. Daneben erhalten Sie alle notwendigen Details, die Sie über das neue EU-U.S. Data Privacy Framework (EU-U.S. DPF; ursprünglich Trans-Atlantic Data Privacy Framework – TADPF) wissen müssen, um rechtskonform am Datenverkehr in die USA teilzunehmen.

 

Die aktuellen Entwicklungen

Europäischer Datenschutzausschuss (EDPB) begrüßt neuen Datenschutzrahmen

Der Europäische Datenschutzausschuss (EDPB) begrüßt die bedeutenden Verbesserungen, die das Data Privacy Framework für den Datenschutz mit sich bringt. Insbesondere wird die Begrenzung der Datenverarbeitung durch U.S.-Nachrichtendienste auf ein notwendiges und verhältnismäßiges Maß positiv bewertet. Auch der neue Rechtsbehelfsmechanismus wird von den Behörden grundsätzlich als geeignet angesehen, um die Rechte der betroffenen Personen in der EU zu stärken. Allerdings kritisiert der EDPB die praktische Umsetzung des Datenschutzrahmens sowie die möglichen Ausnahmen für eine vorübergehende Massenerhebung von Daten in den USA. Daher empfiehlt der EDPB, dass die neue Angemessenheitsentscheidung nicht nur von der Verabschiedung, sondern auch von der praktischen Umsetzung der Executive Order 14086 zur Verbesserung der Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten der Vereinigten Staaten abhängig gemacht werden sollte. Im Ergebnis steht der EDPB der Angemessenheitsentscheidung der EU weniger kritisch gegenüber als der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments. Aufgrund des positiven Feedbacks der Datenschutzbehörde ist jedoch nicht mit größeren Verzögerungen bei der für Mitte des Jahres geplanten Verabschiedung der neuen Angemessenheitsentscheidung zu rechnen.

Ausschuss empfiehlt Ablehnung des Data Privacy Frameworks

Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments hat empfohlen, den Entwurf des Datenschutzrahmens „Data Privacy Framework“ zwischen der EU und den USA abzulehnen. Die Ablehnung basiert auf mehreren Gründen, unter anderem darauf, dass der Erlass der Biden-Administration keinen ausreichenden zusätzlichen Schutz personenbezogener Daten bietet und die darin vorgesehenen Schutzmaßnahmen unzureichend sind, da der Präsident sie jederzeit einfach wieder aufheben oder ändern könnte. Daneben ist die von U.S.-Präsident Biden verabschiedete Executive Order in vielen Punkten zu unbestimmt, wodurch U.S.-Gerichte weiterhin genügend Interpretationsspielraum hätten, um massenhafte Datensammlungen zu genehmigen – insbesondere, wenn es um die nationale Sicherheit der USA geht. Die Executive Order würde zudem nicht für Daten gelten, auf die Geheimdienste nach U.S.-Gesetzen wie dem Cloud Act und dem Patriot Act zugreifen könnten. Auch hat es die USA versäumt, ihre Datenüberwachung zu reformieren, sodass weiterhin kein bundesweites Datenschutzgesetz in den USA gelten. Das Fazit des Ausschusses lautet daher, dass das innerstaatliche Recht der USA nicht mit dem Rahmen der EU-Datenschutzgrundverordnung (EU-DSGVO) vereinbar ist.

Angemessenheitsentscheidung der Europäischen Kommission

Nachdem zuvor der U.S.-Präsident Joe Biden in seiner Executive Order eine Rechtsgrundlage für den neu zu regelnden Datentransfer in die USA geschaffen hat, war die Europäische Kommission nun am Zug. Sie hat geprüft, ob die in seiner Executive Order enthaltenen Neuerungen die Zweifel des EuGH beseitigt, die der EuGH im Juli 2020 geäußert hat (Schrems II - https://curia.europa.eu/juris/liste.jsf?language=de&num=C-311/18). Am 13. Dezember 2022 war es dann so weit. Die Europäische Kommission hat den Entwurf einer Angemessenheitsentscheidung für das geplante EU-U.S. Data Privacy Framework bekannt gegeben (https://ec.europa.eu/commission/presscorner/detail/de/QANDA_22_7632).

Im Entwurf des Angemessenheitsbeschlusses kommt die Europäische Kommission zu dem Entschluss, dass die USA ein angemessenes Schutzniveau bieten, um personenbezogene Daten aus der Europäischen Union in die USA zu übermitteln. Damit ist wieder ein wichtiger Schritt getan, in Richtung Privacy Shield 2.0.

Doch wie geht es weiter?

Bevor die Europäische Kommission den Angemessenheitsbeschluss auch tatsächlich erlassen kann, muss der Europäische Datenschutzausschuss (EDPB) diesen zunächst einmal absegnen. Nachdem das EDPB den neuen Datenschutzrahmen begrüßt hat stehen die Chancen gut, dass das Privacy Shield 2.0 im Laufe diesen Jahres in Kraft tritt. Allerdings fordert das EDPB noch eine Erklärung, in der die Europäische Kommission zu den vom EDPB genannten Zweifeln Stellung nehmen soll. Kommt das EDPB anschließend zu dem Entschluss, dass der Angemessenheitsbeschluss in seiner finalen Form den gemachten Anforderungen des EuGH (Schrems II) entspricht, kann die Europäische Kommission den Angemessenheitsbeschluss erlassen. Damit stehen für zertifizierte U.S.-Unternehmen die Tore für einen freien und sicheren Datentransfer aus der Europäischen Union in die USA, auf Grundlage des neuen Datenschutzrahmens, endlich wieder offen. Wie lange die Beurteilung des Europäischen Datenschutzausschusses allerdings dauert, ist schwer zu sagen. Wir können allerdings davon ausgehen, dass nach eigener Schätzung zur Mitte des Jahres 2023 der neue Datenschutzrahmen gilt.

Welche Möglichkeiten haben Sie als Webseitenbetreiber in der Zwischenzeit?

Bis zum endgültigen Erlass des Angemessenheitsbeschlusses durch die Europäische Kommission sollten Sie weiterhin auf Standardvertragsklauseln (SCC) setzen. Dazu können Sie die Empfehlung des Europäischen Datenschutzausschusses (EDPB) nutzen, die er für die sichere Übermittlung personenbezogener Daten aus der EU in die USA veröffentlicht hat. Weiter unten (Auswirkungen der Unwirksamkeit des Privacy Shield für Webseitenbetreiber) haben wir Ihnen erklärt, wie Sie Standardvertragsklauseln nutzen und so auch außerhalb des Privacy
Shields am Datenverkehr in die USA und anderen Drittländern sicher teilnehmen.

Executive Order ebnet den Weg zum EU – US Data Privacy Framework (EU-US DPF)

Am 07. Oktober 2022 hat US-Präsident Joe Biden durch seine Executive Order eine Rechtsgrundlage geschaffen. Auf dieser Grundlage kann die Europäische Union nun einen Angemessenheitsbeschluss erstellen. Dieser Angemessenheitsbeschluss ermöglicht damit den neu geregelten Datentransfer in die USA. Der Datentransfer ist damit deutlich einfacher und der Weg über die komplizierte Vorgehensweise über die SCCs der Europäischen Union ist dann nicht mehr notwendig. Das geplante Abkommen läuft zudem nicht mehr unter dem Namen „Trans-Atlantic Data Privacy Framework“, sondern EU-US Data Privacy Framework.

Vorgaben der Executive Order

In der Executive Order hat US-Präsident Joe Biden einige Punkte umgesetzt, die der EuGH in sein Schrems-II-Entscheidung zuvor kritisiert hat. Die Executive Order enthält folgende Neuerungen, die einen sicheren und unkomplizierten Datentransfer aus der EU in die USA ermöglichen sollen:

  • Schutzmaßnahmen zur Beschränkung von US-Signalaufklärungstätigkeiten (Signals intelligence Upstream Surveillance)
  • Unabhängiger Rechtsschutz für Einzelpersonen durch Einführung eines Civil Liberties Protection Officer (CLPO) sowie eines unabhängigen Data Protection Review Court (DPRC)
  • Update der Richtlinien und Verfahren der US-Intelligence Community
  • Regelmäßige Überprüfung durch das Privacy and Civil Liberties Oversight Board (PCLOB)

Durch die Executive Order hat U.S.-Präsident Joe Biden jetzt den Weg für eine Möglichkeit zu einer sicheren und langfristigen Datenübertragung aus der EU in die USA eröffnet. Nun ist die Europäische Kommission am Zug. Sie muss nun die in der Executive Order enthaltenen Maßnahmen prüfen und bewerten. Ist die Europäische Kommission der Ansicht, dass die Maßnahmen die Zweifel des EuGH beseitigen, beschließen Sie die Angemessenheit in Form eines Angemessenheitsbeschlusses. Darin legt die Europäische Kommission fest, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten bieten. Bis zum endgültigen Erlass des Angemessenheitsbeschlusses sollten Sie als Unternehmen oder Webseitenbetreiber weiterhin auf Standardvertragsklauseln bei der Übertragung von personenbezogenen Daten in die USA setzen.

Wichtige Änderungen für Sie als Webseitenbetreiber

Auswirkungen der Executive Order für Webseitenbetreiber

Da die USA die erarbeiteten Ziele in einer „Executive Order“ umgesetzt hat, stellt diese nun die Grundlage dafür dar, dass die Europäische Kommission einen Angemessenheitsbeschluss erstellt, der dann die formelle Rechtsgrundlage des neu geregelten Datentransfers in die USA darstellt.

Für Sie als Webseitenbetreiber ist dann erneut ein problemloser Datentransfer in die USA möglich, sodass der Weg über die komplizierte Vorgehensweise über die SCCs dann nicht mehr notwendig ist. Die Datenübertragung aus der EU in die USA ist damit wieder leichter umsetzbar.

Auswirkungen der Unwirksamkeit des Privacy Shield für Webseitenbetreiber

Bis das neue EU-U.S. Data Privacy Framework als Nachfolger für das vorherige EU-U.S.-Privacy Shield in Kraft getreten ist, müssen Sie weiterhin selbst für jeden Einzelfall beurteilen, ob in dem Empfängerland ein angemessenes Datenschutzniveau im Rahmen der DSGVO gewährleistet ist, wenn Sie personenbezogene Daten von EU-Bürgern übermitteln. Dazu hat der europäische Datenschutzausschuss (EDPB) eine Empfehlung für die sichere Übermittlung personenbezogener Daten aus der EU veröffentlicht. Darin stellt er jeweils fünf Schritte dar, die eine sichere Übermittlung der Daten gewährleisten:

 

  • Schritt 1:

Achten Sie darauf, wohin Ihre Webseite die personenbezogenen Daten der Endbenutzer sendet. Nur so erkennen Sie, ob Sie weitere Schritte einleiten und weitere Vorschriften einhalten müssen.

Jetzt Website scannen!

Praxistipp

Nutzen Sie unseren Website-Scanner, der alle Cookies und Tracker automatisch erkennt. Dieser teilt Ihnen mit, wohin die personenbezogenen Daten gesendet werden.

Jetzt Website scannen!
  • Schritt 2:

Stellen Sie den richtigen Übertragungsmechanismus sicher. Senden Sie personenbezogene Daten an ein Land ohne Angemessenheitsbeschluss der EU (z. B. USA), dann achten Sie darauf, dass Ihre Webseite eines der in Art. 46 DSGVO genannten Übertragungsmechanismen für den Datentransfer nutzt (z. B. Nutzung von SCCs).

Senden Sie hingegen personenbezogene Daten in ein Land mit einem entsprechenden EU-Abkommen – „EU Adequacy Agreement“ – (z. B. Neuseeland), müssen Sie keine weiteren Vorgehensweisen beachten.

In beiden Fällen müssen Sie in jedem Fall die Einwilligung der Endbenutzer einholen, bevor Sie deren persönliche Daten sammeln, verarbeiten und in andere EU- oder Nicht-EU-Länder versenden.

 

  • Schritt 3:

Bewerten Sie im Rahmen eines Transfer-Impact-Assessments (TIA), ob die personenbezogenen Daten in dem Empfängerland innerhalb eines gleichwertigen Datenschutzniveaus geschützt sind, wie in der EU. Mithilfe der „EU Essential Guarantees“ des EDPB können Ihnen folgende Punkte bei der Bewertung helfen:

  • Bewertung konkreter Übertragungswege der Daten: Werden Leitungsnetze staatlich überwacht, so kann dies ein Risiko für das Schutzniveau sein. Andere Übertragungswege (z. B. Satelliten) bieten womöglich mehr Schutz.
    Beispiel: Bei der Datenübertragung in die USA wird ein Überseekabel genutzt, dass von staatlichen U.S.-Behörden überwacht wird.
  • Bewertung der Datenspeicherung bei einem bestimmten Empfänger: Durch branchenspezifische Gesetzgebung im Drittland (z. B. USA) sind U.S.-Behörden ermächtigt, einfachen Zugriff auf Daten zu erhalten. Prüfen Sie, ob andere Datenimporteure von einer solchen Gesetzgebung nicht betroffen sind.
    Beispiel: Ein Telekommunikationsdienstleister in den USA ist gezwungen, aufgrund der Gesetzgebung mit U.S.-Behörden zu kooperieren.
  • Mögliche zumutbare Alternativen: Prüfen Sie, ob mögliche Dienstleister nicht auf einen internationalen Datentransfer angewiesen sind (z. B. ein in der EU-ansässiger Dienstleister).

 

  • Schritt 4:

Kommen Sie zu dem Ergebnis, dass das Schutzniveau in dem Empfängerland nicht mit den europäischen Datenschutzrichtlinien im Einklang steht, müssen Sie vor dem Datentransfer zusätzliche Maßnahmen ergreifen, um den Schutz der Daten Ihrer Kunden zu garantieren. Solche Maßnahmen umfassen:

  • Vertragliche Schutzmaßnahmen (z. B. Interne Richtlinien für die Verwaltung von Übertragungen oder Transparenzverpflichtungen der Datenimporteure),
  • Technische Sicherheitsvorkehrungen (z. B. Verschlüsselungsprotokolle oder Pseudonymisierung) sowie
  • Organisatorische Maßnahmen (z. B. in Form von Transfer-Governance-Richtlinien oder die Entwicklung von Best Practices, um den Datenschutzbeauftragten, falls vorhanden, rechtzeitig einzubeziehen und Zugang zu Informationen zu gewähren).

 

  • Schritt 5:

Achten Sie zu guter Letzt darauf, dass Sie Ihre Vorgehensweise hinsichtlich des Datentransfers personenbezogener Daten der Endbenutzer dokumentieren, indem Sie genau beschreiben, wie der Schutz sicher gewährleistet wird. Überprüfen Sie darüber hinaus in regelmäßigen Abständen, ob es Neuerungen hinsichtlich der Vorgehensweise eines sicheren Datentransfers gibt, um sich an die neuesten Entwicklungen anzupassen.

Ziele des EU-US Data Privacy Abkommens

Die Ziele des geplanten, neuen EU-U.S. Data Privacy Framework sind:

  • Ein angemessener Schutz der in die USA übermittelten Daten von EU-Bürgern gemäß dem Urteil des Europäischen Gerichtshofs (Schrems II).
  • Sichere und geschützte Datenflüsse.
  • Eine dauerhafte und verlässliche Rechtsgrundlage.
  • Eine wettbewerbsfähige digitale Wirtschaft und wirtschaftliche Zusammenarbeit.
  • Die Förderung des grenzüberschreitenden Handels, der jedes Jahr ca. 900 Milliarden Euro ausmacht.

Geplante Regelungen des neuen EU-U.S. Data Privacy Framework

Neben der einfacheren und sicheren Übertragung von personenbezogenen Daten in die USA bringt das neue Data Privacy Framework auch die folgenden Vorteile mit sich:

  • Die Erfassung von personenbezogenen Daten von EU-Bürgern darf nur dann erfolgen, wenn dies zur Förderung legitimer nationaler Sicherheitsziele der USA erforderlich ist. Dabei darf sie den Schutz der Privatsphäre und der bürgerlichen Freiheiten nicht unverhältnismäßig beeinträchtigen.
  • Daneben bietet es EU-Bürger die Möglichkeit, mithilfe eines neuen mehrschichtigen Rechtsbehelfsmechanismus Schadensersatz zu verlangen.
  • Es wird ein unabhängiges Datenschutz-Überprüfungsgericht (Data Protection Review Court) geschaffen, das aus Personen besteht, die außerhalb der US-Regierung ausgewählt werden und die volle Befugnis haben, über Ansprüche zu entscheiden und bei Bedarf Abhilfemaßnahmen einzuleiten.
  • Die U.S.-Geheimdienste haben darüber hinaus die Möglichkeit einzuführen, um eine wirksame Überwachung der neuen Datenschutz- und bürgerlichen Freiheitsstandards sicherzustellen.

Die bisherigen Entwicklungen – Von Safe Harbour bis heute

Unseren visuellen Zeitstrahl zur Entwicklung des Privacy Shields 2.0 finden Sie weiter unten

Safe-Harbor-Abkommen

Bereits im Jahr 2000 haben die Europäische Union und die USA mit dem Safe-Harbor-Abkommen versucht, entsprechende Maßnahmen zu ergreifen, um den Datenschutz von personenbezogenen Daten zu gewährleisten. Ziel des Abkommens ist gewesen, dass Unternehmen in Übereinstimmung mit der europäischen Datenschutzrichtlinie persönliche Daten aus der Europäischen Union in die USA übermitteln dürfen. Dies war aber nur möglich, sofern die USA einen „angemessenen“ Schutz der Privatsphäre gewährleisteten.

Schrems-I-Urteil

Ob die USA einen solchen „angemessenen“ Schutz der Privatsphäre gewährleistet, musste der EuGH am 06. Oktober 2015 entscheiden. Er kam zu dem Ergebnis, dass das Safe-Harbor-Abkommen zwischen der Europäischen Union und der USA nicht den notwendigen Anforderungen entspricht und damit nichtig ist. Doch warum ist das Abkommen gescheitert?

Dazu dient ein kleiner Einblick in den geschichtlichen Zusammenhang:

Der US-Kongress hat am 26. Oktober 2001, als Reaktion auf den 11. September 2001, den USA-Patriot Act verabschiedet, der seit dem 01. Juni 2015 durch den USA-Freedom Act ersetzt wird. Dieses Bundesgesetz erlaubt es den US-Behörden (wie FBI, NSA und CIA), ohne richterliche Anordnung, auf die Server von US-Unternehmen sowie dessen ausländische Tochterfirmen zuzugreifen, auch wenn lokale Gesetze dies untersagen („Executive Order“). Die US-Behörden haben damit einen uneingeschränkten Zugriff auf die Nutzerdaten, die die US-Unternehmen auf den Servern speichern.

Beispiel: Ein in Deutschland ansässiges Unternehmen bietet auf ihrer Website einen in den USA ansässigen Tracking-Dienst an. Dabei werden Nutzerdaten in die USA gesendet und auf den Servern des US-Unternehmens gespeichert. Aufgrund des USA-Freedom Acts haben die US-Behörden nun in einem Verdachtsfall das Recht, auf die Nutzerdaten zuzugreifen, wenn eine potenzielle Gefahr für die innere Sicherheit der USA besteht. Da die Voraussetzungen für die Annahme einer solch potenziellen Gefahr sehr gering sind, steht einer massenhaften Überwachung und Speicherung aller Nutzerdaten damit nichts im Wege.

Die Möglichkeit einer solchen massenhaften Überwachung und Speicherung von Nutzerdaten entspricht nicht den europäischen Anforderungen und Gesetzen an den Datenschutz. Der Grund: Die Weitergabe von personenbezogenen Daten nach Verlassen der EU ist nach der Datenschutzgrundverordnung (DSGVO) explizit untersagt. Das U.S.-Bundesgesetz höhlt damit die europäischen Datenschutzgesetze aus und verletzt das Grundrecht der Endnutzer auf Achtung des Privatlebens.

Daneben waren die Möglichkeiten, betreffende personenbezogene Daten von den Betroffenen einzusehen oder im Rahmen des gerichtlichen Rechtsschutzes löschen zu lassen, unzureichend gestaltet. Auf dieser Grundlage hat der EuGH das Safe-Harbor-Abkommen für insgesamt nichtig erklärt.

EU-US-Privacy Shield-Abkommen – Privacy Shield 1.0

Als Reaktion auf die Entscheidung des EuGH hat die Europäische Union und die USA einen neuen Weg finden müssen, den Datenaustausch in die USA zu ermöglichen und zeitgleich die Daten der Nutzer zu schützen. Als Ergebnis ist das EU-U.S.-Privacy Shield-Abkommen ins Leben gerufen worden. Darin hat die U.S.-Bundesregierung ebenfalls zugesichert, Garantien und Beschränkungen für den Datenzugriff durch Behörden zu schaffen, die dem Datenschutzniveau der Europäischen Union entsprechen.

Daneben war ein sogenannter Angemessenheitsbeschluss – wie auch im aktuellen Verfahren – Inhalt des EU-U.S.-Privacy Shields. Er ist auf Grundlage der DSGVO von der Europäischen Kommission festgestellt worden und bestätigt, dass ein Drittland (d. h. ein Land, das nicht an die DSGVO gebunden ist) oder eine internationale Organisation ein angemessenes Schutzniveau für personenbezogene Daten bietet. Die Folge: Personenbezogene Daten durften ohne weitere Prüfung an das Drittland oder die internationale Organisation gesendet werden. Somit war ein Datentransfer erneut problemlos in die USA möglich.

Schrems-II-Urteil

Allerdings hat der EuGH am 16. Juli 2020 den EU-U.S.-Privacy Shield ebenfalls für ungültig erklärt. In seinem Urteil (EuGH, Urteil vom 16. Juni 2020, C-311/18) hat er erneut klargestellt, dass Sie personenbezogene Daten von EU-Bürgern nur dann an Drittländer übermitteln dürfen, sofern sie in dem Drittland einen gleichwertigen Schutz wie in der EU genießen. Dies hat der EuGH im Fall des EU-U.S.-Privacy Shields aber verneint. Denn die USA ermöglicht weiterhin die Möglichkeit, dass U.S.-Behörden fast uneingeschränkten Zugang zu personenbezogenen Daten von EU-Bürgern auf Servern in den USA haben. Der Angemessenheitsbeschluss der Europäischen Kommission ist damit hinfällig, sodass ein sicherer Datentransfer in die USA erneut nicht mehr gegeben ist.

Als Reaktion darauf hat die EU-Kommission am 04. Juni 2021 neue Standardvertragsklauseln („Standard Contractual Clauses“ – SCCs) verabschiedet, die ab dem 27. Dezember 2022 ihre volle Gültigkeit besitzen. Ein Datentransfer nach den alten SCCs ist dann nicht mehr möglich.

Doch was bedeutet das für Sie?

Bis zu diesem Zeitpunkt haben Sie als Datenexporteur Zeit, Ihre bisherigen Verträge für Datenübermittlungen mit den Datenempfängern in den USA an die neuen SCCs anzupassen.

Sollten Sie neue Verträge mit Dienstleistern in den USA schließen, müssen Sie die von der Europäischen Union bereitgestellten Standardvertragsklauseln zwingend anwenden, sodass Sie sowohl technische als auch organisatorische Maßnahmen ergreifen müssen, um den Schutz der personenbezogenen Daten der Endbenutzer zu gewährleisten.

EU-US Data Privacy Framework als Nachfolger des EU-US-Privacy Shield

Um diesen teils aufwendigen Bewertungsmaßstab zu entkräften und den Datentransfer in die USA zu erleichtern, hat die Europäische Union mit den USA ein Abkommen beschlossen, das die Übermittlung von personenbezogenen Daten datenschutzkonform ermöglicht und transparenter macht. Wann der transatlantische Datenschutzrahmen allerdings gilt, ist noch ungewiss. Man munkelt, dass mit dem neuen Datenschutzrahmen zwischen der Europäischen Union und der USA zum 01. Januar 2023, nach eigener Einschätzung aber spätestens zur Mitte des Jahres 2023 zu rechnen ist.

Die Entwicklungen im Überblick

 

  • Safe-Harbor-Abkommen: Die Europäische Union und die USA ergreifen mit dem Safe-Harbor-Abkommen Maßnahmen, um den Datenschutz von personenbezogenen Daten zu gewährleisten.
  • USA-Patriot Act: Als Reaktion auf den 11. September 2001 verabschiedet der US-Kongress den USA-Patriot Act.
  • USA-Freedom Act: Der USA-Patriot Act wird durch den USA-Freedom Act versetzt. Dieses Bundesgesetz erlaubt es den US-Behörden (wie FBI, NSA und CIA), ohne richterliche Anordnung, auf die Server von US-Unternehmen sowie dessen ausländische Tochterfirmen zuzugreifen, auch wenn lokale Gesetze dies untersagen („Executive Order“). Die US-Behörden haben damit einen uneingeschränkten Zugriff auf die Nutzerdaten, die die US-Unternehmen auf den Servern speichern.
  • Schrems-I-Urteil: Der EuGH entscheidet, dass das Safe-Harbour-Abkommen zwischen der EU und den USA nicht den notwendigen Anforderungen entspricht. Der Grund: Die Weitergabe von personenbezogenen Daten nach Verlassen der EU ist nach der Datenschutzgrundverordnung (DSGVO) explizit untersagt. Der USA-Freedom Act höhlt damit die europäischen Datenschutzgesetze aus und verletzt das Grundrecht der Endnutzer auf Achtung des Privatlebens.
  • Privacy-Shield 1.0: Die Europäische Kommmission und die USA geben die Einigung auf das EU-U.S.-Privacy Shield-Abkommen bekannt, um den Datenaustausch in die USA wieder problemlos zu ermöglichen und zeitgleich die Daten der Nutzer zu schützen.
  • Schrems-II-Urteil: Der EuGH erklärt den EU-U.S.-Privacy Shield ebenfalls für ungültig, denn die USA ermöglicht weiterhin, dass U.S.-Behörden fast uneingeschränkten Zugang zu personenbezogenen Daten von EU-Bürgern auf Servern in den USA haben.
  • SCCs: Die EU-Kommission verabschiedet als Reaktion auf das EuGH-Urteil neue Standardvertragsklauseln („Standard Contractual Clauses“ – SCCs), die ab dem 27. Dezember 2022 ihre volle Gültigkeit besitzen. Ein Datentransfer nach den alten SCCs ist dann nicht mehr möglich.
  • Executive Order: U.S.-Präsident Joe Biden schafft durch die Executive Order die Rechtsgrundlage, damit die EU-Kommission einen Angemessenheitsbeschluss erstellen kann - das geplante Abkommen läuft nicht mehr unter dem Namen „Trans-Atlantic Data Privacy Frame-work“, sondern heißt ab jetzt EU-U.S. Data Privacy Framework.
  • Angemessenheitsentscheidung für das geplante EU-U.S. Data Privacy Framework: Bekanntgabe des Entwurfs einer Angemessenheitsentscheidung für das geplante EU-U.S. Data Privacy Framework durch die Europäische Kommission. Im Entwurf des Angemessenheitsbeschlusses kommt die Europäische Kommission zu dem Entschluss, dass die USA ein angemessenes Schutzniveau bieten, um personenbezogene Daten aus der Europäischen Union in die USA zu übermitteln. Damit ist wieder ein wichtiger Schritt getan, in Richtung Privacy Shield 2.0.
  • Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments empfiehlt Ablehnung des Datenschutzrahmens „Data Privacy Framework“: Wegen unzureichender Umsetzung der notwendigen Schutzmaßnahmen durch die USA hat der Ausschuss seine Bedenken geäußert und der EU-Kommission empfohlen, den Datenschutzrahmen abzulehnen. Der Ausschuss steht dabei unter anderem besonders der jederzeit problemlosen Aufhebung der Executive Order durch US-Präsident Biden kritisch gegenüber.
  • EDPB begrüßt neuen Datenschutzrahmen: Der Europäischer Datenschutzausschuss (EDPB) hat sich hingegen für den neuen Datenschutzrahmen ausgesprochen. Zwar äußert auch er seine Bedenken in Bezug auf die Ausnahmen einer massenhaften Datenerhebung sowie der praktischen Umsetzung durch die Biden-Administration. Jedoch bringt der Datenschutzrahmen eine Reihe der vom EuGH geforderten Voraussetzungen mit, um einen sicheren Datenaustausch zwischen der EU und der USA zu gewährleisten.
  • Eigene Schätzung: Zeitpunkt für Inkrafttreten des neuen Datenschutzrahmens für den sicheren Datentransfer aus der EU in die USA.
Sebastian Lenz
Sebastian Lenz

Sebastian Lenz ist Student und unterstützt nebenbei das eRecht24-Team in der Content-Erstellung von juristischen Beiträgen und Ratgebern. Durch seinen juristischen Background kann er komplizierte Sachverhalte und Themen in eine verständliche Form für die Praxis übertragen, sodass der Leser einen bestmöglichen Mehrwert daraus erhält. Seine Schwerpunkte und Interessen liegen besonders im IT-Recht sowie Strafrecht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
WordPress als Nutzer DSGVO-konform betreiben
Weiterlesen...
Wie auch Sie das Videokonferenztool Zoom datenschutzkonform nutzen können
Weiterlesen...
Die 6 gängigsten Cookie Consent Tools
Weiterlesen...
Die DSGVO und Datenpannen: Wann sind Sie zu einer Meldung verpflichtet?
Weiterlesen...
Social Media Plugins: Haftung für den Facebook Like-Button
Weiterlesen...
DSGVO und Fotografie: Was ändert sich für Fotografen?
Weiterlesen...
Datenschutz auf Facebook: 10 Tipps, wie Sie Ihre persönlichen Daten schützen können
Weiterlesen...
Nutzer-Einwilligung auf Webseiten: Quatsch oder Pflicht?
Weiterlesen...
Wichtig für Ihr Cookie Consent Tool: Einwilligung und Cookie Banner
Weiterlesen...
Anleitung: Consent Management mit Usercentrics einbinden
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details