Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.

Data Privacy Framework

Privacy Shield 2.0: Datentransfer in die USA

Fachlich geprüft von: Rechtsanwalt Lev Lexow Rechtsanwalt Lev Lexow
(154 Bewertungen, 4.14 von 5)

Das Wichtigste in Kürze

  • Das Nutzen von Tools und Diensten aus den USA ist wieder zulässig - unter bestimmten Voraussetzungen.
  • Denn: eine rechtssichere Datenübertragung in die USA ist jetzt wieder möglich.
  • Dafür müssen Webseitenbetreiber und Unternehmer eine Reihe von Maßnahmen ergreifen.

Worum geht's?

Aller guten Dinge sind drei? Nach der Safe-Harbour-Entscheidung und dem gescheiterten EU-US Privacy Shield, übertrugen Webseitenbetreiber und Unternehmer beim Einsetzen von US-Tools und -diensten Daten rechtswidrig in die USA. Und mussten mit Bußgeldern und Abmahnungen rechnen. Jetzt haben sich die Europäische Kommission und US-Präsident Joe Biden auf einen neuen transatlantischen Datenschutzrahmen (Data Privacy Framework) geeinigt. Dieser ist am 10.07.2023 in Kraft getreten. Mit dem Privacy Shield 2.0 ist die Nutzung von Tracking-/ Analytic- und Marketing-Tools aus den USA wieder zulässig. Allerdings nur unter bestimmten Voraussetzungen. Die Entwicklungen der letzten Jahre und was genau Sie als Webseitenbetreiber jetzt tun müssen, um US-Tools rechtssicher zu verwenden, erklären wir Ihnen im Folgenden.

1. Wie können Webseitenbetreiber personenbezogene Daten rechtssicher in die USA übermitteln?

Im aktuellen Angemessenheitsbeschluss wird festgestellt, dass die USA ein - im Vergleich zur EU - angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an US-Unternehmen übermittelt werden. Aber nur bei solchen Unternehmen, die am EU-US-Datenschutzabkommen teilnehmen.

Wann nehmen US-Unternehmen am neuen Datenschutzrahmen teil?

Damit ein US-Unternehmen als sicherer Datenempfänger gilt und die Grundsätze des Data Privacy Frameworks einhält, muss es durch ein Selbstzertifizierungsverfahren des US-Handelsministeriums (DoC - Department of Commerce). Diese Selbstzertifizierung verlangt, dass ein Unternehmen eine Reihe von Unterlagen einreicht. Sind diese vollständig, wird die Organisation in die DPF (kurz für “Data Privacy Framework”) Liste aufgenommen und gilt als selbst zertifiziert nach den Voraussetzungen des neuen Datenschutzrahmens.

Das klingt zwar nach einem komplizierten Prozess, soll aber in der Praxis nicht so sein. Insbesondere für Unternehmen, die bereits am ersten Privacy Shield teilgenommen haben, soll es verhältnismäßig einfach sein, die Teilnahmebedingungen vom Privacy Shield zum DPF zu erweitern. Solche Unternehmen sollen nun ihre Datenschutzhinweise bezüglich der neu hinzugekommenen Anforderungen des DPF innerhalb von 3 Monaten aktualisieren.

Ist eine US-Organisation einmal zertifiziert, muss sie diese Zertifizierung jedes Jahr erneuern. Das US-Department of Commerce äußerte dazu, dass das Verfahren der Selbstzertifizierung und der jährlichen Neuzertifizierung im Wesentlichen gleich bleibt. Es soll also keine zusätzliche Hürde geschaffen werden.

Was müssen US-Unternehmen also tun?

Schritt 1: Selbstzertifizierung beim DoC vornehmen

Schritt 2: Jährliche Re-Zertifizierung durchführen

Schritt 3: betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten informieren

Dies kann zum Beispiel durch die Verwendung eines Datenschutzhinweises geschehen:

 

Inhalt des Datenschutzhinweises
Dieser muss Folgendes enthalten:
  • Teilnahme am Data Privacy Framework
  • Arten der erhobenen Daten
  • Zwecke der Verarbeitung
  • Arten oder Identitäten von Dritten, an die personenbezogene Daten weitergegeben werden können
  • Die Zwecke der Weitergabe personenbezogener Daten an Dritte
  • Rechte der betroffenen Person
  • Kontaktangaben der Organisation
  • Verfügbare Rechtsbehelfe

 

Zu dem gesamten Prozess der Zertifizierung hat die amerikanische Regierung unter folgendem Link eine offizielle Anleitung veröffentlicht.

Was müssen Unternehmer & Webseitenbetreiber in der EU tun, wenn sie Daten in die USA übermitteln wollen?

Europäische Datenexporteure - die personenbezogene Daten aus der EU im Rahmen des Angemessenheitsbeschlusses der Datenschutzbehörde übermitteln möchten - müssen vorher auf der Website der Datenschutzbehörde prüfen, ob der US-Datenempfänger von der Datenschutzbehörde zertifiziert ist. Und außerdem, ob die betreffende Datenübermittlung von dieser Zertifizierung abgedeckt ist.
Zu diesem Zweck gibt es, wie auch schon beim Vorgänger “Privacy Shield", eine Datenbank. Die zertifizierten US-Unternehmen werden in dieser Datenbank gelistet und aufgeführt

Diese kann auf der Website zum Data Privacy Framework Program unter dem Punkt „Data Privacy Framework List“ aufgerufen werden.

Dort können Webseiteninhaber dann nach den jeweiligen Unternehmen suchen und sicherstellen, dass die notwendige Selbstzertifizierung vorliegt.

Wichtig

In der offiziellen DPF-Liste können Sie nicht nach dem Namen von dem von Ihnen genutzten Tool suchen, sondern nur nach dem Namen des jeweiligen Dienstanbieters dieses Tools.

2. Welche US-Dienstleister können rechtssicher genutzt werden?

Momentan ist der Einsatz aller US-Dienstleister rechtssicher, die unter dem DPF zertifiziert sind.
US-Unternehmen müssen das Selbstzertifizierungsverfahren durchlaufen, um sich dann auf den Angemessenheitsbeschluss berufen zu können. 

Im folgenden haben wir für Sie eine Übersicht der 38 am meisten angefragten Tools (Stand: 27.07.2023) zusammengestellt und aufgelistet, ob diese von DPF zertifizierten Unternehmen herausgebracht werden und somit rechtssicher im Gebrauch sind oder nicht. So können Sie direkt bei uns auf der Seite per Suchfunktion nach Ihrem Programm oder Dienstanbieter suchen.

Werden Sie nicht fündig? Bei unserer Liste handelt es sich lediglich um eine Auswahl an Diensten, Tools und Apps. Ist Ihr Suchbegriff nicht in unserer Tabelle enthalten, schauen Sie auf der offiziellen Seite des Data Privacy Framework nach, ob Ihr Programm von einem DPF-zertifizierten Unternehmen heraugebracht wurde. Den Link dazu finden Sie im vorherigen Kapitel.

 

Auswahl an DPF zertifizierten Unternehmen
Software
Unternehmen
Zertifizierung
ActiveCampaign
ActiveCampaign
Aktiv
Adobe Typekit Webfonts
Adobe Inc.
Aktiv
Amazon Web Services (AWS)
Amazon.com, Inc.
Aktiv
Amazon Partnerprogramm
Amazon.com, Inc.
Aktiv
Amazon Cloudfront CND
Amazon.com, Inc.
Aktiv
Calendly
Calendly
Aktiv
Cloudflare
Cloudflare, Inc.
Aktiv
Wordfence
Defiant Inc.
Inaktiv
Font Awesome
Fonticons, Inc.
Nicht gelistet
Google Forms
Google LLC
Aktiv
Google Maps
Google LLC
Aktiv
Google Recaptcha
Google LLC
Aktiv
YouTube
Google LLC
Aktiv
Google Ads
Google LLC
Aktiv
Google Tag Manager
Google LLC
Aktiv
Google Analytics
Google LLC
Aktiv
Google AdSense
Google LLC
Aktiv
Google Cloud CND
Google LLC
Aktiv
Google Calendar
Google LLC
Aktiv
Google Double Click
Google LLC
Aktiv
Google Fonts
Google LLC
Aktiv
HubSpot
HubSpot, Inc.
Aktiv
Cookie Notice & Compliance
Hu-manity.co
Nicht gelistet
mailchimp
Intuit Inc.
Aktiv
hCaptcha
Intuition Machines, Inc.
Nicht gelistet
Instagram
Meta Platforms Inc.
Aktiv
WhatsApp
Meta Platforms Inc.
Aktiv
Facebook Pixel
Meta Platforms Inc.
Aktiv
Facebook Custom Audiences
Meta Platforms Inc.
Aktiv
Microsoft Teams
Microsoft Corporation
Aktiv
OneDrive
Microsoft Corporation
Aktiv
Skype for Business
Microsoft Corporation
Aktiv
MyFonts
MyFonts, Inc.
Nicht gelistet
Squarespace
Squarespace
Aktiv
Vimeo
Vimeo, LLC
Nicht gelistet
Webflow
Webflow, Inc.
Aktiv

Legende:

Aktiv:

Das Unternehmen ist DPF-zertifiziert. 

Inaktiv:

Das Unternehmen war beim Vorgängerabkommen "EU-US Privacy Shield" gelistet und zertifiziert, hat aber eine Zertifizierung nach dem neuen "EU-US Data Privacy Framework" (noch) nicht vorgenommen. Tools & Programme dieses Unternehmens können nicht ohne zusätzliche geeignete datenschutzrechtliche Garantien (z.B. SCCs & TIA) genutzt werden.

Nicht gelistet:

Das Unternehmen ist nicht DPF-zertifiziert und war auch nicht unter dem Vorgängerabkommen "EU-US Privacy Shield" gelistet. Tools & Programme dieses Unternehmens können nicht ohne zusätzliche geeignete datenschutzrechtliche Garantien (z.B. SCCs & TIA) genutzt werden.

 

Sie haben Ihr Tool nicht gefunden? In der offiziellen DPF-Liste können Sie nach dem Dienstanbieter Ihres Tools suchen und nachsehen, ob das Unternehmen DPF-zertifiziert ist. Gern nehmen wir US-Tools in die Liste auf, die für Sie wichtig sind. Nennen Sie uns Ihre interessanten US-Tools in den Kommentaren.

Brauche ich auch weiterhin eine Einwilligung?

Die Einwilligung brauchen Sie für fast alle Tracking-Tools (also Google Analytics, Meta Pixel, Hotjar etc.).

WICHTIG

Das Inkrafttreten des Data Privacy Framework bedeutet nicht, dass Sie für US-Tools keine Einwilligung mehr über ein Cookie Consent Tool benötigen.

Dabei spielt es keine Rolle, ob das Tool aus den USA kommt oder nicht. Der User soll nämlich entscheiden können, ob er möchte, dass Tools wie Google Analytics diese Daten über ihn oder sie sammeln oder eben nicht. Der Datentransfer in die USA ist eine davon unterschiedliche Problematik.

Dort braucht man geeignete Schutzgarantien, um die Daten in den Drittstaat weitergeben zu können - die mit dem neuen Data Privacy Framework jetzt bestehen.

Das Einholen einer Einwilligung ist also auch weiterhin rechtlich notwendig. Alles zum
Thema Einwilligung für Trackingtools, Cookies und Cookie Consent Tools lesen Sie auf
unserer Übersichtsseite “Cookies, Tracking & Datenschutz: Alle Infos im Überblick”.

3. Checkliste: How-To Datenübermittlung in die USA

In 5 Schritten zum sicheren Datentransfer
So sollten Sie vorgehen: Checkliste
  • Schritt 1: Zertifizierung des Datenempfängers prüfen - die 38 am meisten angefragten Tools haben wir für Sie in einer Tabelle aufbereitet - diese können Sie direkt bei uns auf der Seite durchsuchen
  • Schritt 2: Bei nicht bestehender Zertifizierung US-Unternehmen anfragen: Die Selbstzertifizierung ist nach unserem Wissensstand nicht übermäßig zeitäufwändig und sollte auch für kleine Unternehmen ohne großen Aufwand umsetzbar sein - sollte der von Ihnen gewählte Dienstanbieter also nicht Data Privacy Framework zertifiziert sein, nehmen Sie Kontakt auf und weisen Sie auf die Zertifizierung hin.
  • Schritt 3: Aktualisierung der Datenschutzerklärung und des Cookie Banners: Die Privacy Shield Zertifizierung und die entsprechenden Informationen zum Datenempfänger müssen in den Datenschutzhinweisen des Datenschutzexporteurs (Art 13. & 14 GDPR) aktualisiert werden - sowohl in der Datenschutzerklärung als auch im Cookie Banner.
  • Schritt 4: Bereits bestehende Standarvertragsklauseln (SCC) behalten: Die SCC können nach wie vor als Instrument zur rechtssicheren Datenübermittlung genutzt werden, haben Sie mit Ihrem Dienstleister bereits SCCs vereinbart, behalten Sie diese.
  • Schritt 5: Bei fehlender Zertifizierung weiterhin Transfer Impact Assessment vornehmen (TIA)

 

Wichtig zu Schritt 3:

Als Webseitenbetreiber können Sie nun auch die langen Hinweistexte zum US-Daten-Transfer aus Ihren Cookie Bannern entfernen, wenn Sie nur DPF zertifizierte Dienste aus den USA nutzen.

Bleiben Sie stets rundum informiert mit Live-Webinaren, eBooks und Checklisten zum Thema Privacy Shield Abkommen, ChatGPT und anderen IT-Rechtsthemen. Sichern Sie Ihre Website und Ihre Online Marketing Aktivitäten mit den eRecht24 Premium Tools ab.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

4. Was passiert mit den Standardvertragsklauseln und dem Transfer Impact Assessment (TIA)?

Haben Sie in der Vergangenheit Verträge mit Dienstleistern in den USA geschlossen, mussten Sie die von der Europäischen Union bereitgestellten Standardvertragsklauseln (SCC) zwingend abschließen und im Rahmen eines Transfer Impact Assessments (TIA) eine eigene Bewertung des Schutzniveaus für Datenübermittlung vornehmen. Sodass Sie sowohl technische als auch organisatorische Maßnahmen ergreifen mussten, um den Schutz der personenbezogenen Daten der Endbenutzer zu gewährleisten. Standardvertragsklauseln und TIA waren also die Grundlage für die meisten Datentransfers in die USA.
Das ist jetzt nicht mehr der Fall. Nur, wenn der Datenempfänger seinen Sitz in den USA hat und sich nicht einer Zertifizierung nach DPF unterzieht, bleibt es bei den bisherigen Regelungen - also der Verwendung von SCC und der Durchführung eines Transfer Impact Assessment (TIA).

Die gute Nachricht ist also, dass die Nutzung nicht-zertifizierter Anbieter nicht allein dadurch ausgeschlossen ist, dass keine Selbstzertifizierung erfolgt. Die schlechte: Das organisationsaufwändige Verfahren vor dem DPF bleibt in diesen Fällen für den Datenexporteur bestehen.

Sören Siebert
Sören SiebertRechtsanwalt

5. Deshalb war der Datenaustausch zwischen EU und USA ein Problem

Innerhalb der EU gelten strenge Regeln, was den Umgang mit personenbezogenen Daten von EU-Bürgern betrifft. Diese dienen vor allem unserem Schutz, müssen aber natürlich gleichzeitig auch eingehalten werden. Übermittelt ein Unternehmer also personenbezogene Daten von Nutzern, die in der EU ansässig sind, in andere Länder außerhalb der EU, muss er oder sie sicherstellen, dass dort ein vergleichbares Schutzniveau für personenbezogene Daten geboten wird wie in der Europäischen Union.

Ist das der Fall, können Übermittlungen in ein sicheres Drittland genauso gehandhabt werden wie Datenübermittlungen innerhalb der EU. Die Entscheidung, ob ein Land als sicheres Drittland gehandelt werden darf, trifft die Europäische (EU) Kommission. Und zwar mit einem Angemessenheitsbeschluss (engl. adequacy decision). Ist ein Angemessenheitsbeschluss angenommen, können personenbezogene Daten frei und sicher aus dem Europäischen Wirtschaftsraum in ein Drittland übermittelt werden, ohne dass weitere Bedingungen oder Genehmigungen erforderlich sind.

Beim Datenverkehr zwischen der EU und den USA gab es allerdings Bedenken bezüglich des Datenschutzniveaus, das die US-Regierung und ihre Geheimdienste bieten. Deshalb erklärte der Europäische Gerichtshof (engl. european court of justice) 2015 und 2020 die schon bestehenden Angemessenheitsbeschlüsse für ungültig. Er entschied, dass durch das Data Privacy Framework die Daten von EU-Bürgern nicht angemessen vor den Überwachungsmaßnahmen der USA geschützt waren.

Alle zeitlichen Entwicklungen und einen visuellen Überblick zu den Geschehnissen finden Sie weiter unten in diesem Artikel.

Sören Siebert
Sören SiebertRechtsanwalt

Dadurch wurde das Nutzen von Diensten, Programmen und Tools, die beim Aufrufen von Webseiten die personenbezogenen Daten des EU-Bürgers an Server in die USA übermitteln, unzulässig. Der Datentransfer war somit nur unter umfangreichen zusätzlichen Vorsichtsmaßnahmen vertretbar - und selbst dann bewegte er sich stets in einem Graubereich. Ein legaler Datentransfer in die USA war damit faktisch unmöglich. Das soll sich nun ändern.

6. Ziele des EU-US Data Privacy Abkommens

Die Ziele des neuen Trans-Atlantic Data Privacy Framework sind:

  • Ein angemessener Schutz der in die USA übermittelten Daten von EU-Bürgern gemäß dem Urteil des Europäischen Gerichtshofs (Schrems II).
  • Sichere und geschützte Datenflüsse.
  • Eine dauerhafte und verlässliche Rechtslage für Unternehmen.
  • Eine wettbewerbsfähige digitale Wirtschaft und wirtschaftliche Zusammenarbeit.
  • Die Förderung des grenzüberschreitenden Handels, der jedes Jahr ca. 900 Milliarden Euro ausmacht.

7. Wie gehts weiter?

Auch wenn die so lange ersehnte Regelung zur Datenübermittlung in die USA mit dem Privacy Shield 2023 jetzt da ist, kann es sein, dass der Grund zur Freude nicht für immer währt. Es werden bereits Stimmen laut, die auch die jetzigen Regelungen nicht für datenschutzkonform halten. Insbesondere Max Schrems, der für die beiden Entscheidungen des EuGH “Schrems I und II” verantwortlich ist, hat angekündigt, erneut vor dem EuGH zu klagen. Was heißt das für Sie als Webseitenbetreiber und Unternehmer?
Erstmal abwarten. Jetzt ist der neue Datenschutzrahmen in Kraft getreten und bis es zu einer eventuellen Neu-Evaluierung kommt, wird einige Zeit vergehen. Verfahren vor dem EuGH sind keine kurzfristige Angelegenheit.

Aktuelle Entwicklungen

Der EU-Parlamentarier Philippe Latombe hat Klage gegen den Beschluss der EU-Kommission zum DPF eingereicht und im Eilverfahren eine Aussetzung des Vollzugs des Data Privacy Frameworks beantragt. Der Antrag ist erfolglos geblieben und wurde am 12. Oktober 2023 vom Europäischen Gericht (EuG) zurückgewiesen.

Philippe Latombe stützte den Antrag darauf, dass der DPF die ungerechtfertigte Übertragung seiner persönlichen Daten von Plattformen wie Microsoft 365 und Google an Organisationen in den USA ermöglichen würde. Hierdurch würden seine Rechte gemäß der DSGVO und der Grundrechtecharta beeinträchtigt.

Das EuG lehnte den Antrag mit der Begründung ab, dass Philippe Latombe keine detaillierten persönlichen Schäden aufgezeigt oder konkrete Beweise für seine Behauptungen vorgelegt habe.
Nun bleibt die Entscheidung im Hauptsacheverfahren abzuwarten.

Max Schrems plant ein anderes Vorgehen und will gegen Unternehmen, die sich auf den DPF berufen, vor nationalen Gerichten klagen. Die Fälle sollen dann erst im Wege des Vorabentscheidungsverfahrens vor dem EuGH landen.

8. Die bisherigen Entwicklungen – Von Safe Harbour bis heute

Nun ist das neue EU-US Data Privacy Framework endlich in Kraft getreten. Bis hierher war es allerdings ein langer Weg. Alle Ereignisse und Meilensteine bis zum Privacy Shield 2.0 haben wir für Sie zusammengetragen - damit Sie sich ein eigenes Bild machen können. Unseren Zeitstrahl mit den wichtigsten Eckpunkten (beispielsweise zur Executive Order) finden Sie am am Ende der Seite

 

Safe-Harbor-Abkommen

Bereits im Jahr 2000 haben die Europäische Union und die USA mit dem Safe-Harbor-Regelung versucht, entsprechende Maßnahmen zu ergreifen, um den Datenschutz von personenbezogenen Daten zu gewährleisten. Ziel des Abkommens war, dass Unternehmen in Übereinstimmung mit der europäischen Datenschutzrichtlinie persönliche Daten aus der Europäischen Union in die USA übermitteln dürfen. Allerdings nur, sofern die USA einen „angemessenen“ Schutz der Privatsphäre gewährleisteten.

Schrems-I-Urteil

Ob die USA einen solchen „angemessenen“ Schutz der Privatsphäre gewährleistet, musste der EuGH am 06. Oktober 2015 entscheiden. Er kam zu dem Ergebnis, dass das Safe-Harbor-Abkommen zwischen der Europäischen Union und der USA nicht den notwendigen Anforderungen entspricht und damit nichtig ist. Doch warum ist das Abkommen gescheitert?

Dazu dient ein kleiner Einblick in den geschichtlichen Zusammenhang:
Der US-Kongress hat am 26. Oktober 2001, als Reaktion auf den 11. September 2001, den USA-Patriot Act verabschiedet, der seit dem 01. Juni 2015 durch den USA-Freedom Act ersetzt wird. Dieses Bundesgesetz erlaubt es den US-Behörden (wie FBI, NSA und CIA), ohne richterliche Anordnung, auf die Server von US-Unternehmen sowie dessen ausländische Tochterfirmen zuzugreifen, auch wenn lokale Gesetze dies untersagen („Executive Order“). Die US-Behörden haben damit einen uneingeschränkten Zugriff auf die Nutzerdaten, die die US-Unternehmen auf den Servern speichern.

Beispiel: Ein in Deutschland ansässiges Unternehmen bietet auf ihrer Website einen in den USA ansässigen Tracking-Dienst an. Dabei werden Nutzerdaten in die USA gesendet und auf den Servern des US-Unternehmens gespeichert. Aufgrund des USA-Freedom Acts haben die US-Behörden nun in einem Verdachtsfall das Recht, auf die Nutzerdaten zuzugreifen, wenn eine potenzielle Gefahr für die innere Sicherheit der USA besteht. Da die Voraussetzungen für die Annahme einer solch potenziellen Gefahr sehr gering sind, steht einer massenhaften Überwachung und Speicherung aller Nutzerdaten damit nichts im Wege.

Die Möglichkeit einer solchen massenhaften Überwachung und Speicherung von Nutzerdaten entspricht nicht den europäischen Anforderungen und Gesetzen an den Datenschutz. Der Grund: Die Weitergabe von personenbezogenen Daten nach Verlassen der EU ist nach der Datenschutzgrundverordnung (DSGVO) explizit untersagt. Das U.S.-Bundesgesetz höhlt damit die europäischen Datenschutzgesetze aus und verletzt das Grundrecht der Endnutzer auf Achtung des Privatlebens.
Daneben waren die Möglichkeiten, betreffende personenbezogene Daten von den Betroffenen einzusehen oder im Rahmen des gerichtlichen Rechtsschutzes löschen zu lassen, unzureichend gestaltet. Auf dieser Grundlage hat der EuGH das Safe-Harbor-Abkommen für insgesamt nichtig erklärt.

EU-US-Privacy Shield-Abkommen - Privacy Shield 1.0

Als Reaktion auf die Entscheidung des EuGH hat die Europäische Union und die USA einen neuen Weg finden müssen, den Datenaustausch in die USA zu ermöglichen und zeitgleich die Daten der Nutzer zu schützen. Als Ergebnis ist das EU-U.S.-Privacy Shield-Abkommen ins Leben gerufen worden. Darin hat die U.S.-Bundesregierung ebenfalls zugesichert, Garantien und Beschränkungen für den Datenzugriff durch Behörden zu schaffen, die dem Datenschutzniveau der Europäischen Union entsprechen.
Daneben war ein sogenannter Angemessenheitsbeschluss – wie auch im aktuellen Verfahren – Inhalt des EU-U.S.-Privacy Shields. Er ist auf Grundlage der DSGVO von der Europäischen Kommission festgestellt worden und bestätigt, dass ein Drittland (d. h. ein Land, das nicht an die DSGVO gebunden ist) oder eine internationale Organisation ein angemessenes Schutzniveau für personenbezogene Daten bietet. Die Folge: Personenbezogene Daten durften ohne weitere Prüfung an das Drittland oder die internationale Organisation gesendet werden. Somit war ein Datentransfer erneut problemlos in die USA möglich.

Schrems-II-Urteil

Allerdings hat der EuGH am 16. Juli 2020 den EU-U.S.-Privacy Shield ebenfalls für ungültig erklärt. In seinem Urteil (EuGH, Urteil vom 16. Juni 2020, C-311/18) hat er erneut klargestellt, dass Sie personenbezogene Daten von EU-Bürgern nur dann an Drittländer übermitteln dürfen, sofern sie in dem Drittland einen gleichwertigen Schutz wie in der EU genießen. Dies hat der EuGH im Fall des EU-U.S.-Privacy Shields aber verneint. Denn die USA ermöglicht weiterhin die Möglichkeit, dass U.S.-Behörden fast uneingeschränkten Zugang zu personenbezogenen Daten von EU-Bürgern auf Servern in den USA haben. Der Angemessenheitsbeschluss der Europäischen Kommission ist damit hinfällig, sodass ein sicherer Datentransfer in die USA erneut nicht mehr gegeben ist.
Als Reaktion darauf hat die EU-Kommission am 04. Juni 2021 neue Standardvertragsklauseln („Standard Contractual Clauses“ – SCCs) verabschiedet, die ab dem 27. Dezember 2022 ihre volle Gültigkeit besitzen. Ein Datentransfer nach den alten SCCs ist dann nicht mehr möglich.
Doch was bedeutet das für Sie?
Bis zu diesem Zeitpunkt hatten Sie als Datenexporteur Zeit, Ihre bisherigen Verträge für Datenübermittlungen mit den Datenempfängern in den USA an die neuen SCCs anzupassen.
Sollten Sie neue Verträge mit Dienstleistern in den USA schließen, müssen Sie die von der Europäischen Union bereitgestellten Standardvertragsklauseln zwingend anwenden, sodass Sie sowohl technische als auch organisatorische Maßnahmen ergreifen müssen, um den Schutz der personenbezogenen Daten der Endbenutzer zu gewährleisten.

EU-US Data Privacy Framework als Nachfolger des EU-US-Privacy Shield

Um diesen teils aufwendigen Bewertungsmaßstab zu entkräften und den Datentransfer in die USA zu erleichtern, hat die Europäische Union mit den USA ein Abkommen beschlossen, das die Übermittlung von personenbezogenen Daten datenschutzkonform ermöglicht und transparenter macht. Das DPF ist am 10.07.2023 in Kraft getreten.

 

Die Entwicklungen im Überblick

 

  • Safe-Harbor-Abkommen: Die Europäische Union und die USA ergreifen mit dem Safe-Harbor-Abkommen Maßnahmen, um den Datenschutz von personenbezogenen Daten zu gewährleisten.
  • USA-Patriot Act: Als Reaktion auf den 11. September 2001 verabschiedet der US-Kongress den USA-Patriot Act.
  • USA-Freedom Act: Der USA-Patriot Act wird durch den USA-Freedom Act versetzt. Dieses Bundesgesetz erlaubt es den US-Behörden (wie FBI, NSA und CIA), ohne richterliche Anordnung, auf die Server von US-Unternehmen sowie dessen ausländische Tochterfirmen zuzugreifen, auch wenn lokale Gesetze dies untersagen („Executive Order“). Die US-Behörden haben damit einen uneingeschränkten Zugriff auf die Nutzerdaten, die die US-Unternehmen auf den Servern speichern.
  • Schrems-I-Urteil: Der EuGH entscheidet, dass das Safe-Harbour-Abkommen zwischen der EU und den USA nicht den notwendigen Anforderungen entspricht. Der Grund: Die Weitergabe von personenbezogenen Daten nach Verlassen der EU ist nach der Datenschutzgrundverordnung (DSGVO) explizit untersagt. Der USA-Freedom Act höhlt damit die europäischen Datenschutzgesetze aus und verletzt das Grundrecht der Endnutzer auf Achtung des Privatlebens.
  • Privacy-Shield 1.0: Die Europäische Kommmission und die USA geben die Einigung auf das EU-U.S.-Privacy Shield-Abkommen bekannt, um den Datenaustausch in die USA wieder problemlos zu ermöglichen und zeitgleich die Daten der Nutzer zu schützen.
  • Schrems-II-Urteil: Der EuGH erklärt den EU-U.S.-Privacy Shield ebenfalls für ungültig, denn die USA ermöglicht weiterhin, dass U.S.-Behörden fast uneingeschränkten Zugang zu personenbezogenen Daten von EU-Bürgern auf Servern in den USA haben.
  • SCCs: Die EU-Kommission verabschiedet als Reaktion auf das EuGH-Urteil neue Standardvertragsklauseln („Standard Contractual Clauses“ – SCCs), die ab dem 27. Dezember 2022 ihre volle Gültigkeit besitzen. Ein Datentransfer nach den alten SCCs ist dann nicht mehr möglich.
  • Executive Order: U.S.-Präsident Joe Biden schafft durch die Executive Order die Rechtsgrundlage, damit die EU-Kommission einen Angemessenheitsbeschluss erstellen kann - das geplante Abkommen läuft nicht mehr unter dem Namen „Trans-Atlantic Data Privacy Frame-work“, sondern heißt ab jetzt EU-U.S. Data Privacy Framework.
  • Angemessenheitsentscheidung für das geplante EU-U.S. Data Privacy Framework: Bekanntgabe des Entwurfs einer Angemessenheitsentscheidung für das geplante EU-U.S. Data Privacy Framework durch die Europäische Kommission. Im Entwurf des Angemessenheitsbeschlusses kommt die Europäische Kommission zu dem Entschluss, dass die USA ein angemessenes Schutzniveau bieten, um personenbezogene Daten aus der Europäischen Union in die USA zu übermitteln. Damit ist wieder ein wichtiger Schritt getan, in Richtung Privacy Shield 2.0.
  • Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments empfiehlt Ablehnung des Datenschutzrahmens „Data Privacy Framework“: Wegen unzureichender Umsetzung der notwendigen Schutzmaßnahmen durch die USA hat der Ausschuss seine Bedenken geäußert und der EU-Kommission empfohlen, den Datenschutzrahmen abzulehnen. Der Ausschuss steht dabei unter anderem besonders der jederzeit problemlosen Aufhebung der Executive Order durch US-Präsident Biden kritisch gegenüber.
  • EDPB begrüßt neuen Datenschutzrahmen: Der Europäischer Datenschutzausschuss (EDPB) hat sich hingegen für den neuen Datenschutzrahmen ausgesprochen. Zwar äußert auch er seine Bedenken in Bezug auf die Ausnahmen einer massenhaften Datenerhebung sowie der praktischen Umsetzung durch die Biden-Administration. Jedoch bringt der Datenschutzrahmen eine Reihe der vom EuGH geforderten Voraussetzungen mit, um einen sicheren Datenaustausch zwischen der EU und der USA zu gewährleisten.
  • Es ist offiziell: Inkrafttreten des neuen Datenschutzrahmens für den sicheren Datentransfer aus der EU in die USA.

 

Maxie Schneider
Maxie Schneider
Diplom-Juristin und Legal Writerin

Maxie Schneider ist Diplomjuristin und arbeitet als Content Teamlead und Redakteurin mit Schwerpunkt Legal/Recht bei eRecht24. Ihr Studienschwerpunkt lag auf interdisziplinären Rechtsthemen und der Wechselwirkung zwischen Rechtsentwicklung und fortschreitender Digitalisierung. Ihr Interesse fokussiert sich auf die Schnittstelle und Konfliktzone von digitaler Innovation und juristischen Grenzen.

Rechtsanwalt Lev Lexow
Lev Lexow
Rechtsanwalt in der Kanzlei Siebert Lexow

Lev Lexow ist ein auf Datenschutz und Internetrecht spezialisierter Rechtsanwalt, Autor und Inhaber der Kanzlei Siebert Lexow. Im Zuge der DSGVO ließ sich Lev Lexow zum TÜV-zertifizierten Datenschutzberauftragten sowie Auditor ausbilden und vertieft seither seine Kenntnisse und Expertise im Datenschutzrecht. Als Head of Legal unterstützt und berät er eRecht24 in allen datenschutzrechtlichen Fragen und veröffentlicht regelmäßig praktische Ratgeber und Anleitungen für unsere Nutzer. Lev Lexow publizierte zudem eine Vielzahl an Kommentaren und Interviews und hält regelmäßig Webinare und Vorträge, insbesondere zum Dauerthema DSGVO.

eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details