EU-US Data Privacy Framework: Nachfolger des Privacy Shield

Der EU-US Datenschutzrahmen soll die neue Rechtsgrundlage für die Übertragung personenbezogener Daten in die USA bilden.

Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) seine Entscheidung verkündet, das transatlantische Datenschutzabkommen Privacy Shield zu kippen. Das 2016 in Kraft getretene Privacy Shield war von großer Bedeutung. Denn es schaffte datenschutzrechtliche Grundlagen und Rahmenbedingungen für den Austausch personenbezogener Daten zwischen der EU und den Vereinigten Staaten.

Auch interessant: Datenschutz im Home-Office: So schützen Sie sich vor Gefahren! 

Umstellung für Unternehmen

2020 wurde es dann ohne Übergangsfrist mit sofortiger Wirkung für ungültig erklärt. Unternehmen, die weiterhin auf den internationalen Datentransfer angewiesen waren, konnten dies auf rechtssicherem Wege nur noch auf Grundlage der Standardvertragsklauseln oder einem der wenigen Ausnahmetatbestände. Die Standardvertragsklauseln mussten dann mit jedem Vertragspartnern einzeln abgeschlossen werden.

Zusätzlicher Aufwand

Für deutsche Unternehmen bedeutete die EuGH-Entscheidung damals auch, dass diese sich bei Cloud-Anbietern, deren Dienstleistungen sie nutzten, rückversichern mussten, ob diese ihre Kunden in Eigeninitiative darauf hinweisen, wenn die Standardvertragsklauseln nicht mehr eingehalten werden konnten.

Warum wurde das Privacy Shield gekippt?

Der Europäischer Gerichtshof (EuGH) hatte seine Entscheidung bzgl. des Privacy Shields ursprünglich mit mangelnden Zugriffsbeschränkungen in den Vereinigten Staaten bergründet, welche es den dortigen Behörden erlaubten, bei Bedarf auf die personenbezogenen Daten aus der EU zuzugreifen. Besteht in den Vereinigten Staaten beispielsweise Terrorismus-Verdacht, können Regierungsbehörden gemäß des Patriot Acts Zugriff auf Unternehmensdaten anfordern. Dazu können eben auch personenbezogene Daten aus der EU zählen, wenn diese zuvor in die USA übertragen worden sind.

EU-US Data Privacy Framework

Jetzt hat die Europäische Kommission mit dem "EU-US: Data Privacy Framework (DPF)" einen möglichen Nachfolger für das Privacy Shield beschlossen. Unternehmen aus den Vereinigten Staaten haben nun die Möglichkeit, mit einem Beitritt zum DPF-Abkommen zu garantieren, dessen Datenschutzverpflichtungen einzuhalten.

Dabei geht es, wie in der EU gemäß Datenschutzgrundverordnung (DSGVO) auch, beispielsweise darum, eine Löschung personenbezogener Daten zu gewährleisten, sofern diese den Zweck, aus dem sie erhoben wurden, erfüllt haben und somit vom Unternehmen nicht länger benötigt werden. Auch Island, Liechtenstein und Norwegen sind am DPF beteiligt.

Sicherheitsmaßnahmen für die Übermittlung an US-Behörden

Doch wie steht es um die Übermittlung der Daten an US-Behörden, wenn diese sie beispielsweise aus Gründen der internationalen Sicherheit anfordern? Auch hier soll es zahlreiche Schutzmaßnahmen geben, die unter anderem auch das Ausmaß des Zugriffs auf ein angemessenen Niveau beschränken. Auch solle ein neues, dediziertes Gericht eingerichtet werden, welches überprüft, ob Datenschutzmaßnahmen auch eingehalten werden.

Kritiker zweifeln jedoch daran, dass nun endlich eine Lösung für die Datenschutzfrage beim transatlantischen Datentransfer gefunden ist. Unternehmen, die auf einen Austausch personenbezogener Daten in die USA angewiesen sind - in welcher Form auch immer - sollten sich bezüglich der Thematik auf dem Laufenden halten um sicherzustellen, dass sie datenschutzkonform handeln.

Weiterführende Informationen zum Thema Data Protection finden Sie auf der Seite Datenschutz.