USA-Datenübermittlung reloaded | EU-US Data Privacy Framework

About

Hier ein Kurzüberblick zur aktuellen Lage und den Veränderungen der letzten Monate zum Thema „Welche Daten meiner Webseitenbesucher*innen oder Kund*innen darf ich eigentlich „in die USA übermitteln“ aka „Welche Tools / Schriften usw. darf ich überhaupt benutzen“?

Das hier ist keinesfalls eine Rechtsberatung (dürfen wir nicht, wollen wir nicht) sondern unser eigenes Understanding des Themas. Der Autor ist Volljurist und das hilft sicher beim Verständnis und den Formulierungen aber ansonsten achten wir als be nice einfach auf aktuelle Themen, die auch für unsere Kundinnen und Kunden relevant sind. In der Umsetzung arbeiten wir immer mit einem tollen Netzwerk an Special-Skill-Providers zusammen, das wir gerne auch für unsere Kunden öffnen, dazu gehören auch die entsprechenden Anwälte.

Das Aktuelle und jetzt Relevante zuerst, kurz & knapp:

Seit 10.07.2023 gilt für Unternehmen das neue EU-US Data Privacy Framework. Dieses besagt gemäß des an diesem Tag rechtswirksam verkündeten neuen Angemessenheitsbeschlusses, dass an US-Unternehmen, die diesem Framework unterfallen, personenbezogene Daten ohne jedes Risiko übermittelt werden können.

Im Kontext dieses – wenn es wirklich in der Praxis Bestand hat – revolutionär zu nennenden neuen EU-US Datenschutzabkommens gibt es spezifische Prinzipien, denen US-amerikanische Unternehmen zustimmen müssen. Diese Prinzipien orientieren sich an den Grundlagen der europäischen Datenschutzgesetze und können als eine abgespeckte Variante der DSGVO angesehen werden. Solche Maßnahmen werden als notwendig erachtet, da es in den USA kein umfassendes allgemeingültiges Datenschutzgesetz gibt.

Die 2600 US-amerikanischen Unternehmen, welche in der Vergangenheit eine Zertifizierung für das Privacy-Shield (s.u.) erhalten hatten, werden nun als im Einklang mit dem Datenschutzrahmen (Data Privacy Framework) zertifiziert betrachtet. Das heißt, im Prinzip alle signifikanten Anbieter von Cloud-Diensten, Software-as-a-Service (SaaS) und IT-Dienstleistungen in den USA an sind bereits jetzt zertifiziert nach dem neuen EU-US Datenschutzabkommen. Das macht es für uns „Verwender“ solcher Dienste, vor allem aber nicht nur über unsere Websites, viel einfacher als bisher. Grade auch was saubere Datenschutzerklärungen betrifft.

Hier nochmal ein kurzer Recap zur Historie, um auch das Privacy Shield Abkommen und die zuletzt gültige Situation kurz zu erklären:

Das EU-US Data Privacy Framework (EU-US-Datenschutzabkommen), das am 10.07.2023 rechtswirksam veröffentlicht wurde, zielt darauf ab, die Anliegen des Europäischen Gerichtshofs (EuGH) in Bezug auf das Schrems-II-Urteil vom 16. Juli 2020 (C-311/18) anzugehen.
Dieses spektakuläre Urteil des EuGH, das der österreichische Datenschützer Max Schrems fast im Alleingang erstritten hat (und es war nicht sein erster derartiger Erfolg, denn schon mit dem Schrems I Urteil hat Schrems das komplette Datenschutzframework „Safe Harbor“ zwischen EU und USA gekippt), erklärte das Datenschutzschild-Abkommen (Privacy Shield Framework) zwischen der EU und den USA für ungültig, da die Aktivitäten der US-Geheimdienste, die auf Massenüberwachung abzielten, nicht den europäischen rechtsstaatlichen Mindeststandards genügten.

In einer Übergangszeit bis Juli 2023 wurde jetzt die Lücke mit sogenannten Standardvertragsklauseln geschlossen, die die EU erstellt und amerikanische Unternehmen verwendet haben. Auf diese war in den Datenschutzerklärungen Bezug zu nehmen. Das scheint nun obsolet zu sein.

Das kürzlich vereinbarte Datenschutzabkommen zwischen der EU und den USA führt ein zweistufiges System ein, das Bürgerinnen und Bürgern der EU die Möglichkeit bietet, Verstöße in Bezug auf die Überwachung durch US-Geheimdienste zu verfolgen, was zuvor nicht möglich war. Das mag ein wenig nach David und Goliath klingen aber Max Schrems hat schon zweimal gezeigt, was möglich ist, wenn gute Anwälte motiviert genug sind.

Ihr seid selbst unsicher, wie es um die Datensicherheit Eurer Website sowie Eures gesamten Systems von Tracking, Analytics, Newsletter-Opt-Ins und Datenspeicherung steht? Meldet Euch gern bei uns, wir machen ein technisches Assessment und schauen die gesamte Datenlandschaft durch, optimieren auf Wunsch auch gleich und und verschaffen Euch gern mit unserem Medienanwalt eine abgesicherte Datenschutzerklärung. Vielen Dank für´s Lesen.

Foto von Matthew Henry auf Unsplash

Newsletter

Empfohlene Artikel

Sustainable Brands Agentur „be nice“ aus Mannheim – Wie funktioniert Markenaufbau für nachhaltigkeitsbewusste Zielgruppen ohne Greenwashing?

Sustainable Brands Agentur „be nice“ aus Mannheim – Wie funktioniert Markenaufbau für nachhaltigkeitsbewusste Zielgruppen ohne Greenwashing?

Warum die Full-Service Brand Success Agentur be nice den Unterschied macht für KMUs und Mittelständler, die stolz auf ...

weiterlesen
Unsere Linkliste für Instagram-Visitors

Unsere Linkliste für Instagram-Visitors

...

weiterlesen
Agentur

Agentur

Mission Statement und Agenturvision Marken ohne Nachhaltigkeitskomponente können heute kaum noch offensiv kommuniziert werden. Dies gilt gleichermaßen für ...

weiterlesen

Kontakt

Falls Du uns telefonisch einmal nicht erreichst, klicke gern auf das Kalendersymbol und mache mit ganz wenigen Klicks einen Zeitpunkt für ein Gespräch oder Webmeeting aus.

Wir freuen uns auf Deine Kontaktaufnahme, gern auch einfach über das Kontaktformular.