Service und Beratung

Die europäische Datenschutzgrundverordnung

Seit dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO) in allen EU-Mitgliedstaaten. 
Auf dieser Seite finden Sie Informationen zu den wichtigsten Punkten.

Neu: Mehr Sicherheit für Datentransfers in die USA


Die EU-Kommission hat am 10. Juli 2023 den neuen Angemessenheitsbeschluss (das sog. EU-US Data Privacy Framework) angenommen. Dieser dient nunmehr als Grundlage für Datenübermittlungen von EU-Unternehmen in die USA unter folgenden Voraussetzungen: 
  • Mit dem Angemessenheitsbeschluss können ab sofort global hierauf gestützt personenbezogene Daten aus der EU in die USA übermittelt werden, ohne dass weitere Übermittlungsinstrumente oder zusätzliche Maßnahmen erforderlich sind.
  • Voraussetzung ist jedoch, dass die US-Datenimporteure, an die Daten übermittelt werden sollen, auch unter dem EU-US Data Privacy Framework zertifiziert sind. 
  • Im Gegensatz dazu sind Standardvertragsklauseln (sog. „SCC“) für jeden Einzelfall eines Datentransfers gesondert abzuschließen. 

Viele große US-Unternehmen haben angekündigt, sich freiwillig nach diesem neuen Angemessenheitsbeschluss zertifizieren zu lassen. Die Federal Trade Commission (FTC) wird diese Zertifizierungen ausstellen und eine Liste der zertifizierten US-Unternehmen im Internet veröffentlichen.
Derzeit ist im Internet nur die Liste der US-Unternehmen abrufbar, welche nach dem EU-US Privacy Shield zertifiziert waren. Dieses hatte der EuGH mit Urteil vom 16. Juli 2020 für unwirksam erklärt.

Allgemeine Regeln für Datentransfers in Drittstaaten

Für Datentransfers in Drittstaaten gelten weiterhin strenge Voraussetzungen. Werden personenbezogene Daten in Drittstaaten übermittelt, müssen die folgenden beiden Voraussetzungen gegeben sein:
  • Rechtsgrundlage für die Datenverarbeitung;
  • Angemessene Garantie für ein gleichwertiges Datenschutzniveau im Drittstaat, z. B. Angemessenheitsbeschluss, Standarddatenschutzklauseln (SCC), verbindliche interne Datenschutzvorschriften („Binding Corporate Rules“ - BCR), Ausnahmen nach Art. 49 Abs. 1 DSGVO.
Für Berliner Unternehmen, die sich noch in der Gründungsphase befinden, bietet die Berliner Beauftragte für Datenschutz und Informationsfreiheit zwei mal im Monat eine Start-Up Sprechstunde an. Alle Termine und weitere Informationen finden Sie hier.