Neuer Angemessenheitsbeschluss für Datentransfers in die USA ist da

Was Datenschutzbeauftragte jetzt wissen müssen

Die EU-Kommission hat am 10.07.2023 im Wege eines Durchführungsrechtsaktes gem. Artikel 45 Abs. 3 DSGVO beschlossen, dass Empfänger in den USA unter bestimmten Voraussetzungen ein mit der EU vergleichbares Datenschutzniveau haben.

Ein Angemessenheitsbeschluss ist eines von mehreren in der DSGVO vorgesehenen Instrumenten, welches für die Übermittlung von personenbezogenen Daten aus der EU/EWR in ein Drittland ein angemessenes Schutzniveau gewährleistet. Basierend auf dem neuen Angemessenheitsbeschluss „EU-U.S. Data Privacy Framework“ können ab sofort personenbezogene Daten aus der EU in die USA fließen, ohne dass weitere Schutzmaßnahmen, Bedingungen oder Genehmigungen erforderlich sind.

Zertifizierung in den USA ist Voraussetzung

Gültig ist der Angemessenheitsbeschluss allerdings nur, wenn der Datenempfänger unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Das US Handelsministerium „U.S. Department of Commerce“ veröffentlicht eine entsprechende Liste , mit deren Hilfe eine Überprüfung der Zertifizierung möglich ist.

Der neue Angemessenheitsbeschluss hat Relevanz für alle Unternehmen, die personenbezogene Daten in die USA übermitteln, beispielsweise bei der Nutzung von Cloud-Services oder im Rahmen eines konzerninternen Datenverkehrs oder, weil die Administration der Datenverarbeitung aus den USA erfolgt.

Was müssen Unternehmen nun tun?

Unternehmen, die personenbezogene Daten in die USA übermitteln, sollten folgende Maßnahmen ergreifen:

Prüfen Sie, ob Ihre Datenempfänger auf der Liste des US-Handelsministeriums aufgeführt, also zertifiziert sind (https://www.dataprivacyframework.gov/s/participant-search).
Falls die Datenempfänger nicht auf der Liste des US-Handelsministeriums aufgeführt sind, sollten die passenden Standarddatenschutzklauseln (SCC) vereinbart werden. Hierbei sollte beachtet werden, dass diese nicht verändert werden dürfen, sondern im Wesentlichen wortgenau zu übernehmen sind. Werden solche Standarddatenschutzklauseln mit dem Datenimporteur in den USA vereinbart, ist daneben auch eine dokumentierte Folgenabschätzung über das Risiko dieser Übermittlung durchzuführen, ein sogenanntes Transfer Impact Assessment (TIA).

Für die Durchführung eines TIA haben die Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie und der BvD eine Arbeitshilfe veröffentlicht. Dieses bietet eine Hilfestellung bei der dokumentierten und strukturierten Durchführung eines TIA (mitsamt eines Muster-TIA).

EuGH hatte die früheren Abkommen für ungültig erklärt

Bereits 2015 und 2020 hatte der Europäische Gerichtshof (EuGH) die Vorgänger-Abkommen jeweils aufgrund von grundlegenden Mängeln für ungültig erklärt. Falls – trotz der Verbesserungen – gegen den neuen Angemessenheitsbeschluss wieder geklagt wird, ist damit zu rechnen, dass der EuGH sich 2024 wieder damit befassen muss. Eine endgültige Entscheidung wäre frühestens 2025 möglich. Der EuGH könnte das neue Abkommen u.U. für die Dauer des Verfahrens aussetzen – die darauf basierenden Datentransfers also für unzulässig erklären. Für diesen leider nicht ganz auszuschließenden Fall empfiehlt der BvD, bereits jetzt Vorkehrungen für den Fall zu treffen, dass das neue Abkommen vom EuGH für ungültig erklärt wird.

Webinar: Clear Web, Deep Web, Dark Web – eine Tauchfahrt in die Tiefen des Internets

Webinar: „EU-ACTionism: AI Act“

Treffen der Regionalgruppe Frankfurt

Treffen Regionalgruppe Schwäbisch Gmünd

DSGVO-Evaluation 2024

Stellungnahme zum Entwurf eines ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes

Das könnte Sie auch interessieren