Neue Rechtsgrundlage für Unternehmen und was zu tun ist
Die gesetzlich zulässige Übermittlung personenbezogener Daten aus der EU und somit auch aus Deutschland in die USA war lange Zeit mehr als schwierig. Ein neues Abkommen sieht aber ab sofort eine Alternative vor. Unternehmen müssen indes jetzt handeln – auch wenn sie beispielsweise nur „Microsoft 365“ oder als Videoplattform „ZOOM“ oder „Teams“ nutzen.
Mit Wirkung ab dem 10. Juli 2023 können nunmehr personenbezogene Daten von natürlichen Personen aus der EU und somit auch aus Deutschland unter vereinfachten Bedingungen über den „großen Teich“ transferiert werden. Hintergrund dafür ist das „EU-U.S. Data Privacy Framework“.
Dabei handelt es sich um einen so genannten „Angemessenheitsbeschluss“ nach Artikel 45 der Datenschutzgrundverordnung („DSGVO“). Vereinfacht ausgedrückt können demnach personenbezogene Daten in ein Land außerhalb der EU (und des Europäischen Wirtschaftsraums – EWR) übertragen werden, ohne dass dafür erhöhte Voraussetzungen erfüllt sein müssen. Und ein solcher (neuer) Angemessenheitsbeschluss besteht ab sofort auch für die USA.
Trotz Neuerung: Prüfung und Verträge erforderlich
Das EU-U.S. Data Privacy Framework löst den Vorgänger „Privacy Shield“ ab, der vom Europäischen Gerichtshof (EuGH) für unwirksam erklärt wurde. Auch wenn der jetzige Beschluss einiges an Erleichterungen mit sich bringt, müssen Unternehmen umgehend handeln.
Zum einen muss das sich in den USA befindende Unternehmen, an das die personenbezogenen Daten übermittelt werden sollen, zertifiziert sein. Das ist unbedingt zu prüfen, denn ohne Zertifizierung ist der Datentransfer nicht gestattet und es drohen Geldbußen in beachtlicher Höhe (gemäß Art. 83 Absatz 5 Buchstabe c) DSGVO von bis zu 20 Millionen Euro oder von bis zu vier Prozent des weltweit im letzten Jahr erzielten Jahresumsatzes eines Unternehmens).
Zum anderen müssen weiterhin zusätzlich schriftliche Vereinbarungen über die Auftragsverarbeitung („AV-Abreden“) zwischen dem in den USA sitzenden Unternehmen und dem Unternehmen mit Standort in der EU geschlossen werden.
Welcher Vertrag ist denn nun erforderlich?
Soweit der Datentransfer aus der EU in die Vereinigten Staaten von Amerika bis dato erfolgt ist, wurden vielfach die „Standarddatenschutzklauseln“ als Vertragsgrundlage genutzt. Das Konstrukt stand aber unter massiver Kritik, insbesondere bei den Aufsichtsbehörden für den Datenschutz in Deutschland. Die AV-Abreden als solche wurden – wegen des damals unwirksamen Privacy Shield – in der Regel als gar nicht wirksam angesehen.
Für Unternehmen stellt sich folglich nun die Aufgabe, sich um die Frage zu kümmern, welcher Vertrag neben der Zertifizierung des US-amerikanischen Unternehmen erforderlich ist.
Fragen, Feedback und Kommentare zu diesem Beitrag senden Sie bitte an r.vgehlen@acent.de
Roland von Gehlen | 04.08.2023