Datenschutz in Ostwestfalen-Lippe

Spaeings Kolumne – Datenschutz im Quadrat: Neuer Angemessenheits­beschluss für Datentransfers in die USA ist da

Was Unternehmen jetzt wissen müssen, um beim Datentransfer in die USA sicher zu sein.

Avatar

ds² Unternehmensberatung

15.08.2023 Anzeige
Thomas Spaeing Geschäftsführer ds² und Präsident BvD/EFDPO

Die EU-Kommission hat am 10.07.2023 im Wege eines Durchführungsrechtsaktes gemäß Artikel 45 Abs. 3 DSGVO beschlossen, dass Empfänger in den USA unter bestimmten Voraussetzungen ein mit der EU vergleichbares Datenschutzniveau haben. Ein Angemessenheitsbeschluss ist eines von mehreren in der DSGVO vorgesehenen Instrumenten, welches für die Übermittlung von personenbezogenen Daten aus der EU/EWR in ein Drittland ein angemessenes Schutzniveau gewährleistet. Basierend auf dem neuen Angemessenheitsbeschluss „EU-U.S. Data Privacy Framework“ können ab sofort personenbezogene Daten aus der EU in die USA fließen, ohne dass weitere Schutzmaßnahmen, Bedingungen oder Genehmigungen erforderlich sind.

Zertifizierung in
den USA
ist Voraussetzung

Gültig ist der Angemessenheitsbeschluss allerdings nur, wenn der Datenempfänger unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Das US-Handelsministerium „U.S. Department of Commerce“ veröffentlicht eine entsprechende Liste (https://www.privacyshield.gov/list), mit deren Hilfe eine Überprüfung der Zertifizierung möglich ist.

Der neue Angemessenheitsbeschluss hat Relevanz für alle Unternehmen, die personenbezogene Daten in die USA übermitteln, beispielsweise bei der Nutzung von Cloud-Services oder im Rahmen eines konzerninternen Datenverkehrs oder weil die Administration der Datenverarbeitung aus den USA erfolgt.

Was müssen Unternehmen
nun tun?

Unternehmen, die personenbezogene Daten in die USA übermitteln, sollten folgende Maßnahmen ergreifen:
Prüfen Sie, ob Ihre Datenempfänger auf der Liste des US-Handelsministeriums aufgeführt, also zertifiziert sind.
Falls die Datenempfänger nicht auf der Liste des US-Handelsministeriums aufgeführt sind, sollten die passenden Standarddatenschutzklauseln (SCC) vereinbart werden. Hierbei sollte beachtet werden, dass diese nicht verändert werden dürfen, sondern im Wesentlichen wortgenau zu übernehmen sind. Werden solche Standarddatenschutzklauseln mit dem Datenimporteur in den USA vereinbart, ist daneben auch eine dokumentierte Folgenabschätzung über das Risiko dieser Übermittlung durchzuführen, ein sogenanntes Transfer Impact Assessment (TIA).
Für die Durchführung eines TIA haben die Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie und der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD – www.bvdnet.de) ein Muster veröffentlicht. Dieses bietet eine Hilfestellung bei der dokumentierten und strukturierten Durchführung eines TIA (mitsamt eines Muster-TIA).

EuGH hatte die früheren
Abkommen für ungültig erklärt

Bereits 2015 und 2020 hatte der EuGH (Europäische Gerichtshof) die Vorgänger-Abkommen jeweils aufgrund von grundlegenden Mängeln für ungültig erklärt. Falls – trotz der Verbesserungen – gegen den neuen Angemessenheitsbeschluss wieder geklagt wird, ist damit zu rechnen, dass der EuGH sich 2024 wieder damit befassen muss. Eine endgültige Entscheidung wäre frühestens 2025 möglich. Der EuGH könnte das neue Abkommen u.U. für die Dauer des Verfahrens aussetzen – die darauf basierenden Datentransfers also für unzulässig erklären. „Für diesen leider nicht ganz auszuschließenden Fall empfehlen wir bei ds² unseren Kunden bereits jetzt Vorkehrungen für den Fall zu treffen, dass das neue Abkommen vom EuGH für ungültig erklärt wird.“ ds² berät Unternehmen seit über 20 Jahren im Bereich des internationalen Datentransfers.

ds² Unternehmensberatung

Falkenstr. 10
33775 Versmold

05423 9599320

05423 9599339

Ein Porträt des Unternehmens und weitere Informationen zu ds² Unternehmensberatung finden Sie HIER

Teilen:

Weitere Insights der Branche Datenschutz in Ostwestfalen-Lippe

„KI steigert Unternehmensrisiken“
Datenschutz 24.01.2024

„KI steigert Unternehmensrisiken“

KI ist in aller Munde, immer neue technische Lösungen sollen auf KI umgestellt werden und immer mehr Staaten machen sich...

Ihr Partner für digitalen (Daten)erfolg
Datenschutz 23.01.2024

Ihr Partner für digitalen (Daten)erfolg

Thomas Spaeing ist ein stark gefragter Experte – und das nicht erst seit gestern. Kein Wunder, ist seine Expertise doch...

Phishing trifft auch große Fische
Datenschutz 09.06.2023

Phishing trifft auch große Fische

Schutz vor Hackerangriffen für Unternehmen eine sichere Investition.

Künstliche Intelligenz
Datenschutz 31.05.2023

Künstliche Intelligenz

Was ist beim Einsatz von KI-Tools zu beachten?

werning.com: Zeitgemäßer Datenschutz vom Profi
Datenschutz 17.02.2023

werning.com: Zeitgemäßer Datenschutz vom Profi

Heute können Datenschutzverstöße mehr denn je ein finanzielles Risiko für Unternehmen darstellen. Die werning.com GmbH aus Lage hilft, solche Gefahren...

Newsletter abonnieren

Newsletter abonnieren und Brancheninfos erhalten

Datenschutz*