Die EU-Kommission hat am 10.07.2023 im Wege eines Durchführungsrechtsaktes gemäß Artikel 45 Abs. 3 DSGVO beschlossen, dass Empfänger in den USA unter bestimmten Voraussetzungen ein mit der EU vergleichbares Datenschutzniveau haben. Ein Angemessenheitsbeschluss ist eines von mehreren in der DSGVO vorgesehenen Instrumenten, welches für die Übermittlung von personenbezogenen Daten aus der EU/EWR in ein Drittland ein angemessenes Schutzniveau gewährleistet. Basierend auf dem neuen Angemessenheitsbeschluss „EU-U.S. Data Privacy Framework“ können ab sofort personenbezogene Daten aus der EU in die USA fließen, ohne dass weitere Schutzmaßnahmen, Bedingungen oder Genehmigungen erforderlich sind.
Zertifizierung in
den USA
ist Voraussetzung
Gültig ist der Angemessenheitsbeschluss allerdings nur, wenn der Datenempfänger unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Das US-Handelsministerium „U.S. Department of Commerce“ veröffentlicht eine entsprechende Liste (https://www.privacyshield.gov/list), mit deren Hilfe eine Überprüfung der Zertifizierung möglich ist.
Der neue Angemessenheitsbeschluss hat Relevanz für alle Unternehmen, die personenbezogene Daten in die USA übermitteln, beispielsweise bei der Nutzung von Cloud-Services oder im Rahmen eines konzerninternen Datenverkehrs oder weil die Administration der Datenverarbeitung aus den USA erfolgt.
Was müssen Unternehmen
nun tun?
Unternehmen, die personenbezogene Daten in die USA übermitteln, sollten folgende Maßnahmen ergreifen:
Prüfen Sie, ob Ihre Datenempfänger auf der Liste des US-Handelsministeriums aufgeführt, also zertifiziert sind.
Falls die Datenempfänger nicht auf der Liste des US-Handelsministeriums aufgeführt sind, sollten die passenden Standarddatenschutzklauseln (SCC) vereinbart werden. Hierbei sollte beachtet werden, dass diese nicht verändert werden dürfen, sondern im Wesentlichen wortgenau zu übernehmen sind. Werden solche Standarddatenschutzklauseln mit dem Datenimporteur in den USA vereinbart, ist daneben auch eine dokumentierte Folgenabschätzung über das Risiko dieser Übermittlung durchzuführen, ein sogenanntes Transfer Impact Assessment (TIA).
Für die Durchführung eines TIA haben die Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie und der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD – www.bvdnet.de) ein Muster veröffentlicht. Dieses bietet eine Hilfestellung bei der dokumentierten und strukturierten Durchführung eines TIA (mitsamt eines Muster-TIA).
EuGH hatte die früheren
Abkommen für ungültig erklärt
Bereits 2015 und 2020 hatte der EuGH (Europäische Gerichtshof) die Vorgänger-Abkommen jeweils aufgrund von grundlegenden Mängeln für ungültig erklärt. Falls – trotz der Verbesserungen – gegen den neuen Angemessenheitsbeschluss wieder geklagt wird, ist damit zu rechnen, dass der EuGH sich 2024 wieder damit befassen muss. Eine endgültige Entscheidung wäre frühestens 2025 möglich. Der EuGH könnte das neue Abkommen u.U. für die Dauer des Verfahrens aussetzen – die darauf basierenden Datentransfers also für unzulässig erklären. „Für diesen leider nicht ganz auszuschließenden Fall empfehlen wir bei ds² unseren Kunden bereits jetzt Vorkehrungen für den Fall zu treffen, dass das neue Abkommen vom EuGH für ungültig erklärt wird.“ ds² berät Unternehmen seit über 20 Jahren im Bereich des internationalen Datentransfers.
ds² Unternehmensberatung
Falkenstr. 10
33775 Versmold
05423 9599339
Ein Porträt des Unternehmens und weitere Informationen zu ds² Unternehmensberatung finden Sie HIER
Teilen: