Neues Datenschutzabkommen zwischen EU und USA
Nachdem der Europäische Gerichtshof im Juli 2020 (sogenanntes Schrems-II-Urteil, Az. C-311-18) das Datenschutzabkommen „Privacy Shield“, das den Datentransfer zwischen der EU und den USA regelte, gekippt hatte, war ein Transfer von Daten in die USA datenschutzrechtlich schwierig geworden. Die EuGH-Richter kritisierten vor allem die umfangreichen Zugriffsmöglichkeiten der US-Geheimdienste und die fehlende Möglichkeit für Europäer, in den USA Rechtsschutz zu diesen Datenschutzfragen zu erlangen. Bei Unternehmen entstand daraufhin viel Unsicherheit, insbesondere zu der Frage, welche Software oder Dienstleister überhaupt noch genutzt werden könnten.
EU-Kommission setzt neues Abkommen in Kraft
Die EU-Kommission hat nun das neue Abkommen angenommen. Damit tritt das sogenannte EU-US Data Privacy Framework Abkommen in Kraft. Dieses neue Abkommen schränkt die Zugriffsrechte der US-Geheimdienste ein. Ein Zugriff soll nur noch dann möglich sein, wenn er notwendig und verhältnismäßig ist. Außerdem soll ein Gericht zur Überprüfung des Datenschutzes eingerichtet werden.
Auswirkungen auf Unternehmen
Unternehmen, die US-Dienstleister beauftragen möchten, haben es nun wieder einfacher. Es müssen nicht mehr die Standardvertragsklauseln abgeschlossen und gegebenenfalls weitere Maßnahmen zum Schutz personenbezogener Daten vereinbart werden. Es genügt, wenn das US-Unternehmen nach dem neuen Abkommen zertifiziert ist. Liegt diese Zertifizierung vor, kann automatisch von einem angemessenen Datenschutzniveau ausgegangen werden. Hat sich der gewünschte Dienstleister aber nicht unter dem neuen Abkommen zertifiziert, bleibt doch nur der Weg über die Standardvertragsklauseln und zusätzliche Garantien zum Schutz der personenbezogenen Daten.
IHK-Tipp
Unternehmen sollten prüfen, ob die von ihnen beauftragten US-Dienstleister in der vom US Department of Commerce veröffentlichten Liste geführt werden und dies intern dokumentieren. Die Übersicht enthält auch Informationen darüber, welche Tochtergesellschaften von der Zertifizierung mitumfasst sind. Unternehmen wie Microsoft, Amazon oder Google sind bereits gelistet.
Stand: 17. Juni 2023