Angemessenheitsbeschluss für das EU-US Data Privacy Framework
ist am 10.07.2023 in Kraft getreten
Mehr Rechtssicherheit für ONlinehändler?
Der Angemessenheitsbeschluss für das EU-US Data Privacy Framework ist am 10.07.2023 endlich in Kraft getreten, die Europäische Kommission hat diesen angenommen.
Ursula von der Leyen, die Präsidentin der Europäischen Kommission, erklärte dazu: "Der neue Datenschutzrahmen EU-USA wird einen sicheren Datenverkehr für die Europäerinnen und Europäer gewährleisten und den Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten."
Was bedeutet das genau?
Das vorangegangne Abkommen (Privacy Shield) war im Juli 2020 vom EuGH für ungültig erklärt worden. Seitdem war der Datentransfer von personenbezogenen Daten aus der EU in die USA für Unternehmen mit einigen Hürden verbunden. So wurden für die Übermittlung personenbezogener Daten in die USA beispielsweise neben den Standardvertragsklauseln noch ergänzende Schutzmaßnahmen gefordert.
Bisher bestand demnach ein Risiko bei der Datenübermittlung in die USA, da diese kein vergleichbares Datenschutzniveau wie in Europa vorweisen können.
Wenn du also Dienste aus den USA wie Microsoft, Google, META etc. nutzt, kannst du in Zukunft wohl aufatmen.
Unternehmen, die sich nach dem Privacy Data Framework zertifizieren lassen, erhalten die Bestätigung, dass sie ein vergleichbares Datenschutzniveau vorweisen.
Kannst du dann wirklich sämtliche US Dienste & Tools bedenkenlos nutzen?
Auch das neue Abkommen wird vor Gericht landen
Wie sein Vorgänger "Privacy Shield" wird auch der neue Datenschutzrahmen EU-USA voraussichtlich wieder vor dem Europäischen Gerichtshof landen. Die österreichische Organisation noyb hat ein dementsprechendes Vorgehen bereits angekündigt. Max Schrems, der Vorsitzende von noyb dazu:
"Wir haben bereits verschiedene juristische Optionen in der Schublade, obwohl wir dieses juristische Ping-Pong satt haben. Wir gehen derzeit davon aus, dass die Sache Anfang nächsten Jahres wieder vor dem Europäischen Gerichtshof landen wird. Der Gerichtshof könnte dann sogar das neue Abkommen während des Verfahrens aussetzen. Im Sinne der Rechtssicherheit und der Rechtsstaatlichkeit werden wir dann eine Antwort darauf bekommen, ob die kleinen Verbesserungen der Kommission ausreichend waren oder nicht. In den letzten 23 Jahren wurden alle Abkommen zwischen der EU und den USA rückwirkend für ungültig erklärt - jetzt einfach zwei weitere Jahre an Rechtsunsicherheit hinzugefügt."
Nicht ganz bedenkenlos.
Jetzt heißt es erst mal noch abwarten, welche US Player, sich wie schnell zertifizieren lassen.
Gerade die "Big Tech Unternehmen" werden wohl schnellstmöglich versuchen, das Privacy Framework umzusetzen, um als "datenschutzkonform" zu gelten.
Die "Grundregeln" bei der Beauftragung von Dienstleistern haben sich dadurch nicht geändert:
- Wie bei allen Dienstleistern solltest du nach wie vor den "Richtigen" auszuwählen, der auch auf deinen Zweck passend ist.
- Ein (aktueller) Auftragsverarbeitungsvertrag (SCC) muss auch weiterhin vorhanden sein.
- Kläre intern ab, welche (sensiblen) Daten bei dem US-Anbieter gespeichert werden und ob du diese Daten grundsätzlich außer Haus geben möchtest.
Datenschutztexte immer aktuell halten?
Unser Partner, die IT Recht Kanzlei bietet dir Sicherheit in Sachen Rechtstexte und hält u.a. auch deine Datenschutztexte immer aktuell - ganz automatisch.