Angemessenheitsbeschluss USA für Datentransfer | IT-Medienrecht

Erfahren Sie alles zum neuen Angemessenheitsbeschluss USA! Endlich sichere Datentransfers zwischen EU & USA? Alle Details zum EU-US Datenschutzrahmen…

Das Wichtigste in Kürze

  • Der neue Angemessenheitsbeschluss vereinfacht Datentransfers in die USA für zertifizierte Unternehmen.
  • Neue Garantien, wie die Beschränkung des Zugriffs von US-Nachrichtendiensten und ein Beschwerdeverfahren, wurden eingeführt.
  • Die Rechtssicherheit ist potenziell temporär, abhängig von zukünftigen politischen Entwicklungen und EuGH-Entscheidungen.
  • US-Unternehmen müssen sich selbst zertifizieren und werden in einer öffentlichen Datenbank geführt.
  • Trotz Verbesserungen bleibt der Einsatz von US-Anbietern ein "Betriebsrisiko" für viele Unternehmen.

Datenschutzrahmen EU-USA: Der neue Angemessenheitsbeschluss ist da

Viele haben es bereits vernommen: Es geht um Datenschutz! Die Europäische Kommission hat endlich den neuen Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. Dieser Beschluss markiert einen bedeutenden Schritt hin zu einem sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA.

Mit der Annahme wird nun offiziell festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Diese Daten können fortan im Rahmen des neuen Beschlusses aus der EU an teilnehmende US-Unternehmen übermittelt werden. Zusätzliche Datenschutzgarantien sind hierfür nicht mehr erforderlich, was den Prozess erheblich vereinfacht.

Der neue Datenschutzrahmen EU-USA bringt darüber hinaus wesentliche Verbesserungen im Vergleich zu früheren Mechanismen mit sich. Es werden neue, verbindliche Garantien eingeführt, die alle vom Europäischen Gerichtshof geäußerten Bedenken berücksichtigen. So wird der Zugang von US-Nachrichtendiensten zu EU-Daten auf das notwendige und verhältnismäßige Maß beschränkt.

Zusätzlich wird ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen. EU-Bürger erhalten Zugang zu diesem Gericht, um ihre Rechte besser durchsetzen zu können.

Nun bleibt abzuwarten: Wie lange wird es dauern, bis sich der Europäische Gerichtshof (EuGH) mit einer Klage nach dem Muster von „Schrems III“ beschäftigen muss? Im Ernst: Dieser Beschluss ist ein wichtiger Schritt. Er soll Bürgern Vertrauen in die Sicherheit ihrer Daten geben, die wirtschaftlichen Beziehungen zwischen der EU und den USA vertiefen und gemeinsame Werte stärken.

Das Trans-Atlantic Data Privacy Framework (TADPF) und seine Neuerungen

Das Trans-Atlantic Data Privacy Framework (TADPF) ist mehr als nur eine vertragliche Zusage amerikanischer Unternehmen, angemessenen Datenschutz zu gewährleisten. Im Zuge seiner Implementierung haben die USA die Befugnisse ihrer Geheimdienste hinsichtlich des Zugriffs auf Daten von EU-Bürgern tatsächlich begrenzt. Zugleich wurde die rechtliche Position der Betroffenen gestärkt.

Wesentliche Verbesserungen für EU-Bürger durch die Executive Order

Ob diese Maßnahmen das Risiko eines Datenmissbrauchs durch US-Geheimdienste ausreichend ausräumen, wird der EuGH zu entscheiden haben. Kritiker der Datentransfers in die USA halten die Zusagen weiterhin für ungenügend.

Wichtige Aspekte des TADPF

Das TADPF erstreckt sich nicht auf die gesamten Vereinigten Staaten. Vielmehr müssen US-Unternehmen ein Selbstzertifizierungsverfahren durchlaufen. Erst danach können sie sich auf den Angemessenheitsbeschluss berufen. Bei Unternehmen mit vielen EU-Nutzern oder Kunden, wie zum Beispiel Meta, Google, Microsoft oder AWS, ist dies zeitnah zu erwarten.

Die zertifizierten US-Unternehmen werden, wie bereits beim Vorgänger „Privacy Shield“, in einer Datenbank geführt. Dort kann nach den jeweiligen Unternehmen gesucht werden. Dabei müssen auch die Angaben zur Reichweite der Zertifizierung unter dem TADPF beachtet werden. So können sich beispielsweise nur bestimmte Unternehmensbereiche auf die Angemessenheit des Datenschutzniveaus verlassen.

Unter der Webadresse https://www.dataprivacyframework.gov/ können offizielle Informationen zum TADPF abgerufen und nach zertifizierten Unternehmen gesucht werden. Hinweis: Stand 10.07.2023 – Bis dato wurden noch keine Unternehmen in die Datenbank eingepflegt.

Fazit

Das TADPF stellt einen wichtigen Schritt zur Rechtssicherheit beim Datentransfer zwischen der EU und den USA dar. Es bietet einen strukturierten und rechtlich anerkannten Mechanismus für die Übermittlung personenbezogener Daten. Dies ist besonders relevant, wenn Dienste von US-Anbietern wie Google, Meta, Microsoft oder Amazon genutzt werden, die personenbezogene Daten verarbeiten.

Allerdings ist es nicht unwahrscheinlich, dass dies nur eine Rechtssicherheit auf Zeit ist. Die Zukunft des Abkommens hängt sowohl von der Datenschutzpolitik des nächsten US-Präsidenten ab als auch davon, ob der EuGH die bisher getroffenen Datenschutzmaßnahmen der USA für ausreichend halten wird.

Für die meisten bedeutet dies, dass der Einsatz von US-Unternehmen vorerst sicherer sein wird. Um sich gegen künftige Unwägbarkeiten zu wappnen, bleibt lediglich der Wechsel zu EU-Anbietern. Da es hier häufig keine adäquaten Alternativen gibt, wird die Frage des Einsatzes von US-Anbietern auch in Zukunft ein „Betriebsrisiko“ vieler Unternehmen, Behörden und anderer Verantwortlichen bleiben.

Für weitere Details kann der 123-seitige Beschluss selbst durchgelesen werden.

Häufig gestellte Fragen

Was ist der neue Angemessenheitsbeschluss für Datentransfers in die USA?
Der neue Angemessenheitsbeschluss der Europäischen Kommission stellt fest, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Dies ermöglicht die Übermittlung von Daten aus der EU an teilnehmende US-Unternehmen ohne zusätzliche Datenschutzgarantien.
Welche wesentlichen Verbesserungen bringt der neue Datenschutzrahmen EU-USA für EU-Bürger?
Der neue Rahmen führt verbindliche Garantien ein, die Bedenken des Europäischen Gerichtshofs berücksichtigen. Dazu gehören die Beschränkung des Zugriffs von US-Nachrichtendiensten auf ein notwendiges Maß und die Schaffung eines Gerichtes zur Datenschutzüberprüfung (DPRC), das EU-Bürgern zur Durchsetzung ihrer Rechte offensteht.
Wie können EU-Bürger ihre Rechte im Rahmen des neuen Datenschutzrahmens durchsetzen?
EU-Bürger können eine Beschwerde beim „Civil Liberties Protection Officer“ der US-Geheimdienste einreichen. Auf einer zweiten Ebene besteht die Möglichkeit, die Entscheidung des „Civil Liberties Protection Officer“ vor dem neu geschaffenen „Data Protection Review Court“ anzufechten.
Was ist das Trans-Atlantic Data Privacy Framework (TADPF)?
Das Trans-Atlantic Data Privacy Framework (TADPF) ist der neue Datenschutzrahmen zwischen der EU und den USA. Es umfasst die Implementierung einer „Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“ und stärkt die rechtliche Position der Betroffenen.
Wo finde ich zertifizierte US-Unternehmen unter dem TADPF?
Zertifizierte US-Unternehmen werden in einer öffentlichen Datenbank geführt. Offizielle Informationen zum TADPF und die Suchfunktion für zertifizierte Unternehmen sind unter der Webadresse https://www.dataprivacyframework.gov/ verfügbar.