Datentransfer in die USA Verbesserter Datenschutz bringt mehr Rechtssicherheit für Unternehmen!

17. August 2023

Alex Goldberg

Am 10. Juli 2023 hat die EU-Kommission den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (EU-US DPF) veröffentlicht. Das bedeutet, dass bei der Übermittlung von Daten an ein zertifiziertes US-Unternehmen ein angemessenes Datenschutzniveau in den USA gegeben ist.

Welche Auswirkungen hat der Angemessenheitsbeschluss auf Unternehmen?

Mit dem EU-US Data Privacy Framework sind zukünftig der Abschluss der Standarddatenschutzklauseln und die Durchführung einer Datentransfer-Folgenabschätzung beim Transfer von Daten an US-Unternehmen nicht mehr erforderlich. Diese Neuerung bedeutet mehr Rechtssicherheit für Unternehmen in der EU.

Einfacher ausgedrückt:

Das EU-US Data Privacy Framework bedeutet, dass Unternehmen in der EU zukünftig nicht mehr unbedingt spezielle Datenschutzvereinbarungen abschließen oder Risikoabschätzungen vornehmen müssen, wenn sie Daten an US-Unternehmen übermitteln möchten. Diese Neuerung bedeutet mehr Rechtssicherheit für Unternehmen in der EU.

Wird der Angemessenheitsbeschluss Bestand haben?

Vergangene Angemessenheitsbeschlüsse der EU-Kommission wurden regelmäßig vom EuGH gekippt. Safe Harbor hatte 15 Jahre Bestand, das Privacy Shield nur 5 Jahre. Datenschutzaktivist Max Schrems hat beide erfolgreich angefochten. Nach der Veröffentlichung des EU-US DPF am 10. Juli erklärte Schrems, dass es nur eine Kopie des Privacy Shield sei und sie die Entscheidung erneut dem EuGH vorlegen werden. Es ist zu erwarten, dass der EuGH sich in einigen Jahren wieder mit dem EU-US DPF beschäftigen muss. Entscheidend wird sein, ob das EU-US DPF signifikante Verbesserungen im Vergleich zu seinen Vorgängern enthält.

Worauf müssen Unternehmen jetzt achten?
Bereits abgeschlossene Standarddatenschutzklauseln bleiben gültig. Ob Angemessenheitsbeschluss und Standarddatenschutzklauseln gleichzeitig gelten können, muss individuell überprüft werden. Es ist jedoch ratsam, sich für eine Option zu entscheiden. Das EU-US DPF bietet eine höhere Rechtssicherheit.

Unternehmen müssen bei der Datenübermittlung an US-Dienstleister im Rahmen des EU-US DPF folgende Punkte prüfen:

1. Ist der Dienstleister zertifiziert?

Ab dem 17. Juli gibt es eine Liste zertifizierter Unternehmen. Wenn der Dienstleister zertifiziert ist, muss geprüft werden, ob alle Arten von personenbezogenen Daten abgedeckt sind. Wenn nicht, müssen weiterhin die Standarddatenschutzklauseln wie bisher verwendet werden. Die Zertifizierungen können hier eingesehen werden:
https://www.dataprivacyframework.gov/

2. Muss die Datenschutzerklärung aktualisiert werden?

Ja, die Datenschutzerklärung muss aktualisiert werden, um Besucher darüber zu informieren, dass Daten gemäß dem EU-US DPF an zertifizierte US-Unternehmen übermittelt werden. Sie können eine neue Datenschutzerklärung z.B. mit dem Datenschutzgenerator im Legal Cockpit [AG1] erstellen.

3. Was passiert mit dem Cookie-Banner?

Bisher wurde die Einwilligung der Besucher für den Datentransfer in die USA über das Cookie-Banner eingeholt. Wenn Daten gemäß dem EU-US DPF an zertifizierte US-Unternehmen übermittelt werden, könnte diese Einwilligung entfallen. Allerdings betrifft dies nicht die Einwilligung für das Tracking oder die Profilbildung zu Werbezwecken selbst. Sie können rechtskonforme Cookie-Einwilligungen z.B. mit dem Cookie-Consent-Tool im Legal Cockpit [AG2] einholen.

4. Müssen die Informationen zur Datenverarbeitung aktualisiert werden?

Ja, neben der Datenschutzerklärung müssen auch alle anderen Informationen zur Datenverarbeitung (z. B. für Bewerber oder Beschäftigte) angepasst werden, wenn zertifizierte US-Unternehmen involviert sind.

5. Was ändert sich bei der Beantwortung von Auskunftsbegehren?

Jeder, der um Auskunft über seine Daten bittet, muss darüber informiert werden, wie der Datenschutz bei der Übermittlung der Daten in ein anderes Land gewährleistet ist. Wurde bisher auf die Standard-Datenschutzklauseln bei US-Unternehmen verwiesen, muss dies nun entsprechend geändert werden.

6. Muss das Verzeichnis für Verarbeitungstätigkeiten aktualisiert werden?

Ja, das Verzeichnis für Verarbeitungstätigkeiten muss aktualisiert werden. Der Verantwortliche muss die Datenübermittlung in die USA und den zugrundeliegenden Angemessenheitsbeschluss dokumentieren. Dabei ist es wichtig, die neue Rechtslage zu berücksichtigen.

Mit dem Angemessenheitsbeschluss zum EU-US Data Privacy Framework erhalten Unternehmen in der EU eine deutliche Verbesserung des Datenschutzes und somit mehr Rechtssicherheit bei Datentransfers in die USA. Es ist jedoch ratsam, die spezifischen Anforderungen des EU-US DPF sorgfältig zu prüfen und die notwendigen Anpassungen in der Datenverarbeitung vorzunehmen, um die Vorteile dieses Beschlusses vollständig zu nutzen. Durch eine rechtzeitige Anpassung können Unternehmen sicherstellen, dass sie den Datenschutzbestimmungen entsprechen und die Datenübermittlung reibungslos und konform erfolgt.

Artikel teilen

Autor Alex Goldberg:

Alex Goldberg

	Internetseite
	LinkedIn

Alex Goldberg ist Rechtsanwalt, Datenschutzbeauftragter und Online-Unternehmer. Er ist Partner der Anwaltskanzlei GAP Goldberg Altenburg in Berlin, Geschäftsführer der Datenschutzlösung PRIVE und Vorstand der Legalcore AG. Nach dem Studium der Rechtswissenschaft in Berlin und Potsdam war Rechtsanwalt Goldberg als wissenschaftlicher Mitarbeiter bei Prof. Dr. Dr. Dr. h.c. Franz Jürgen Säcker, als Referendar beim Bundeswirtschaftsministerium, bei einer internationalen Werbeagentur sowie in renommierten Wirtschaftskanzleien tätig. Rechtsanwalt Goldberg war außerdem Lehrbeauftragter für Medien- und Markenrecht an der Hochschule für Kommunikation und Design in Berlin und ist Autor zahlreicher Fachpublikationen zum Wirtschaftsrecht, Speaker und Dozent.

Whistleblowing im Überblick Die neuen gesetzlichen Anforderungen

Das Hinweisgeberschutzgesetz dient der Umsetzung der EU Whistleblower- Richtlinie und bezweckt den Schutz von Personen. Für mittelständische Unternehmen mit 50 bis 249 Angestellten gilt eine letzte Übergangsfrist bis zum 17. Dezember 2023. Nach Ablauf dieser Fristen können Unternehmen, die keine Meldestelle eingerichtet haben oder den Betrieb einer solchen vernachlässigen, mit Bußgeldern bis zu 20.000 Euro belangt werden.

| weiter |

Vorschaubild Whistleblowing im Überblick

Das anwaltliche Datenschutz-Audit Der DSGVO-Rundum-Schutz von Bußgeldern und Abmahnungen

Datenschutz ist wie Steuern: Keiner will, aber jeder muss! In dieser Aufzeichnung erfahren Sie, wie ein DSGVO-Audit vor Abmahungen und Bußgeldern schützt.

| weiter |

Vorschaubild Das anwaltliche Datenschutz-Audit

ChatGPT im Einsatz Wie Sie das KI-Tool im Alltag rechtskonform einsetzen können

Die Verwendung von ChatGPT im Marketing, z. B. für die Erstellung von Texten für Newsletter, Instagram und Google Ads, ist grundsätzlich akzeptabel. Es ist jedoch wichtig, die Richtigkeit der KI-generierten Inhalte zu überprüfen. Aus urheberrechtlichen Gründen sollten die Produkte des AI-Tools nur als Inspiration für eigene Texte dienen. Eine direkte Übernahme von Texten ist nicht ratsam, da Sie nicht als Urheber gelten und kein Urheberrecht beanspruchen können.

| weiter |

Datenschutzverstöße diesen Sommer Millionenschwere Bußgelder treffen Spotify, Amazon und weitere Unternehmen!

Diesen Sommer wurden bedeutsame Bußgelder gegen mehrere namhafte Unternehmen verhängt, die Datenschutzverstöße begangen hatten. Die Strafen fielen im Millionenbereich aus und wurden von den Datenschutzbehörden wegen unzureichender Auskunftserteilung, fehlender Abmeldemöglichkeiten, und Verstößen bei der Datennutzung verhängt.

| weiter |

Vorschaubild Datenschutzverstöße diesen Sommer

Rekordstrafe für Facebook 1,2 Milliarden Euro Bußgeld wegen Datenschutz-Verstößen

Seit Inkrafttreten der Europäischen Datenschutz-Grundverordnung vor fünf Jahren hat Meta mehr Bußgelder kassiert als jedes andere Internetunternehmen. Der Facebook-Mutterkonzern steht nun erneut vor einer Rekordstrafe.

| weiter |

Den Datenschutz und die DSGVO schnell umsetzen Ein Leitfaden in 6 einfachen Schritten

Die Beachtung des Datenschutzes auf Ihrer Website ist von entscheidender Bedeutung und bildet die Grundlage für einen rechtssicheren Auftritt. Die Webseite ist nämlich öffentlich und auch die Behörden können darauf zugreifen. Es gibt hier zahlreiche Aspekte, die berücksichtigt werden müssen.

| weiter |

Vorschaubild Den Datenschutz und die DSGVO schnell umsetzen

Die 7 größten Abmahnrisiken auf Ihrer Webseite Rechtsanwälte klären auf

Falsch bezeichnete Bildrechte, fehlerhafte Datenschutzerklärungen, irreführende Werbeaussagen etc. etc. Die Erfahrung zeigt, dass sich kaum jemand frühzeitig um die rechtliche Absicherung der Webseite kümmert. Erst wenn die erste Abmahnung, das erste Gerichtsverfahren oder das erste Bußgeld kommt, geht einem ein Licht auf. Dann ist es aber meistens schon zu spät – es drohen im Ernstfall nämlich Kosten von mehreren 10.000 Euro.

| weiter |

Vorschaubild Die 7 größten Abmahnrisiken auf Ihrer Webseite

Die 7 gefährlichsten Abmahnfallen auf Webseiten Webinar von Alex Goldberg

75 % der Firmen haben die gesetzlichen Vorschriften noch nicht richtig umgesetzt. Wo die teuersten Abmahnfallen sind, zeigt Rechtsanwalt Alex Goldberg in diesem Vortrag.

| weiter |

Vorschaubild Die 7 gefährlichsten Abmahnfallen auf Webseiten

Der Datenschutzbeauftragte Wann brauche ich einen?

In vielen Unternehmen Unsicherheit: Wann macht die Benennung eines Datenschutzbeauftragten Sinn? Besteht vielleicht sogar die gesetzliche Verpflichtung, einen Datenschutzbeauftragten zu benennen? Und was sind eigentlich die Aufgaben des Datenschutzbeauftragten?

| weiter |

DSGVO: Das Verarbeitungsverzeichnis Tipps vom Datenschutz-Anwalt

Wer als Unternehmer personenbezogene Daten verarbeitet, also im Grunde jeder Unternehmer,muss ein Verarbeitungsverzeichnis nach Art. 30 DSGVO führen. Erfahren Sie hier, warum sich ein ordentlich gepflegtes Verarbeitungsverzeichnis lohnt.

| weiter |

Vorschaubild DSGVO: Das Verarbeitungsverzeichnis

Zurück zur Artikelliste

Datentransfer in die USA

Verbesserter Datenschutz bringt mehr Rechtssicherheit für Unternehmen!

Weitere Artikel von Alex Goldberg:

Whistleblowing im Überblick Die neuen gesetzlichen Anforderungen

Das anwaltliche Datenschutz-Audit Der DSGVO-Rundum-Schutz von Bußgeldern und Abmahnungen

ChatGPT im Einsatz Wie Sie das KI-Tool im Alltag rechtskonform einsetzen können

Datenschutzverstöße diesen Sommer Millionenschwere Bußgelder treffen Spotify, Amazon und weitere Unternehmen!

Rekordstrafe für Facebook 1,2 Milliarden Euro Bußgeld wegen Datenschutz-Verstößen

Den Datenschutz und die DSGVO schnell umsetzen Ein Leitfaden in 6 einfachen Schritten

Die 7 größten Abmahnrisiken auf Ihrer Webseite Rechtsanwälte klären auf

Die 7 gefährlichsten Abmahnfallen auf Webseiten Webinar von Alex Goldberg

Der Datenschutzbeauftragte Wann brauche ich einen?

DSGVO: Das Verarbeitungsverzeichnis Tipps vom Datenschutz-Anwalt

umzugshelfer-in-bremen

Bauer Veranstaltungstechnik

Sitis GmbH Rhein Main Medical

Verbraucherkonzept GmbH Immobilien-Finanz-Versicherungsmakler

Da Vito

Ich mag die kostenfreien Anzeigen und möchte das Projekt unterstützen