EU Kommission:

EU-US Data Privacy Framework in Kraft

Nachdem Safe-Harbor und Privacy Shield als Rechtsgrundlage für den Transfer personenbezogener Daten in die USA vom Europäischen Gerichtshof vor Jahren kassiert wurden, gibt es nun einen neuen Anlauf für transatlantische Datentransfers: Das EU-US Data Privacy Framework.

EU-US Data Privacy Framework Datenschutz Rechtsanwalt
© NicoElNino – stock.adobe.com

Nahezu jedes Unternehmen ist von transatlantischen Datentransfers in die USA betroffen, da die meisten der großen Techanbieter (wie z.B. Apple, Microsoft, Amazon, Google und Facebook) ihren Sitz in den USA haben. Seit der EUGH zunächst Safe Harbor und auch das Folgeabkommen den Privacy Shield als Grundlage für transatlantische Datentransfers personenbezogener Daten abräumte, herrschte für viele Unternehmen eine hohe Rechtsunsicherheit. Gleichzeitig waren und sind viele Unternehmen auf den Transfer personenbezogener Daten in die USA – oft auch mangels brauchbarer Alternativen – darauf angewiesen.

EU-US Data Privacy Framework

Nun unternehmen die EU und die USA mit dem EU-US Data Privacy Framework (EU-U.S. DPF) den dritten Anlauf für ein Abkommen zum Transfer personenbezogener Daten zwischen der EU und den USA.  Am 10.07.2023 hat die Europäische Kommission ihren Angemessenheitsbeschluss für das EU-US Data Privacy Framework veröffentlicht. Dieser gilt nun ab dem 10.07.2023.

Der Angemessenheitsbeschluss kommt zu dem Schluss, dass die Vereinigten Staaten im Vergleich zur EU ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an US-Unternehmen übermittelt werden, die an dem EU-U.S. DPF teilnehmen.

Somit besteht für Datentransfers die unter diesen Bedingungen in die USA erfolgen wieder eine Rechtsgrundlage für Unternehmen.

Was ist beim EU-US Data Privacy Framework anders?

Ein wesentliches Element des EU-U.S. DPF, ist die von Präsident Biden am 07.10.2022 unterzeichnete Exekutive Order „Enhancing Safeguards for United States Signals Intelligence Activities“, die von Verordnungen des US -Justizministeriums begleitet wird. Damit sollen die Bedenken des EUGH in seinen Urteilen zu Safe Harbor und Privacy-Shield, auch Schrems I und Schrems II genannt, ausgeräumt werden.

Für EU-Bürger, deren personenbezogene Daten in die USA übermittelt werden, sieht diese Executive Order Folgendes vor:

  • Verbindliche Garantien, die den Zugriff auf Daten durch US-Nachrichtendienste auf das beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist;
  • eine verstärkte Aufsicht über die Aktivitäten der US-Geheimdienste, um die Einhaltung der Beschränkungen von Überwachungsmaßnahmen zu gewährleisten;
  • und die Einrichtung eines unabhängigen und unparteiischen Rechtsbehelfsmechanismus, zu dem auch ein neues Datenschutzprüfungsgericht gehört, das Beschwerden über den Zugriff der nationalen Sicherheitsbehörden der USA auf ihre Daten untersucht und entscheidet.

Künftig sollen EU-Bürger also mehr vor der Sammelwut amerikanischer Nachrichtendienste geschützt werden und auch die Möglichkeit von Rechtsbehelfen haben.

Kritik

Max Schrems, Namensgeber der beiden EUGH Entscheidungen gegen die früheren Abkommen,  und noyb, für die er tätig ist, laufen sich bereits für ein drittes Verfahren vor dem EUGH warm. Es handele sich lediglich um eine Kopie des Privacy Shield mit rein kosmetischen aber nicht substantiellen Änderungen.

Wesentliche Kritikpunkte sind:

  • Das Verständnis von Verhältnismäßigkeit in den USA sei ein gänzlich anderes, da die Massenüberwachung durch US-Geheimdienste dort als verhältnismäßig beurteilt würden.
  • Es fehlt nach wie vor an einem echten Rechtsbehelf, da der Gang zu echten Gerichten in den USA für EU-Bürger wegen Überwachungsmaßnahmen der US-Geheimdienste weiterhin nicht möglich ist. Das nun eingesetzte „Gericht“ sei wieder kein echtes Gericht sondern unterstehe der Exekutive in den USA.
  • Auch handele es sich seitens der USA nur um eine Executive Order, nicht um ein förmliches Gesetz. Der nächste Präsident könne dies daher wieder rückgängig machen.

Fazit

Bei aller (berechtigter) Kritik an dem Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework ist dies aktuell eine Rechtsgrundlage für den Datentransfer in die USA für Unternehmen. Man muss sich nur bewusst sein, dass diese Rechtsgrundlage möglicherweise in einer Schrems III Entscheidung des EUGH wieder abgeräumt wird. Bis es soweit ist, gilt sie aber.

Artikel als PDF speichern Clemens Pfitzer
Verfasst am: 11. Juli 2023
Clemens Pfitzer, Anwalt für Markenrecht, Wettbewerbsrecht und IT-Recht Fachanwalt für gewerblichen Rechtsschutz und IT-Recht Rechtsanwwalt

Clemens Pfitzer

Rechtsanwalt . Partner
Fachanwalt für:
Gewerblicher Rechtsschutz
IT-Recht
+49 711 41019072

Rechtsgebiete zu dieser News

Themen zu dieser News

Ähnliche News

Ähnliche News

EuGH:

Missbrauch personen-
bezogener Daten begründet Schadensersatz

Der Missbrauch personenbezogener Daten kann Schadensersatzansprüche der Betroffenen nach sich ziehen. Doch unter welchen Voraussetzungen können Schadenersatzansprüche, insbesondere wegen immaterieller Schäden, geltend gemacht...

Jenseits von Google Fonts

Seit einiger Zeit werden gegenüber Betreibern von Webseiten Rechtsverletzungen wegen der Nutzung von Google Fonts geltend gemacht. Einige Kanzleien und Abmahner verschicken massenhaft Abmahnungen. Insbesondere Rechtsanwalt...

Neue Standardvertragsklauseln für internationale Datentransfers

Seit dem 27.09.2021 dürfen für international Datentransfers nur noch die neuen Standardvertragsklauseln verwendet werden. Für bereits bestehende Verträge gilt eine Übergangsfrist....
LG Berlin:

Berliner Beauftragte für den
Datenschutz scheitert vor
Gericht

Die Berliner Beauftragte für den Datenschutz hatte gegen die Deutsche Wohnen SE einen Bußgeldbescheid wegen Datenschutzverstößen in Höhe von 14,5 Millionen Euro verhängt. Auf den hiergegen eingelegten Einspruch hob das...
LG Köln:

Sind Cookies ohne Einwilligung wettbewerbswidrig?

Darf man auf Webseiten Cookies ohne Einwilligung verwenden? Wie muss eine solche Einwilligung aussehen und welche Cookies sind betroffen? Das Landgericht Köln gibt einige Antworten....
LG Bonn:

DSGVO Bußgeld gegen 1&1 auf 10% reduziert

Die Landesdatenschutzbeauftragten und Datenschutzbehörden anderer Länder sind mittlerweile übergegangen durchaus beachtliche Bußgelder zu verhängen. Aber ist so ein DSGVO Bußgeld wie es die Behörden verhängen auch immer...
EUGH:

Privacy Shield ungültig! Standardvertragsklauseln keine Alternative?

Die Übermittlung personenbezogener Daten in die USA erfolgt regelmäßig auf Grundlage des EU-US Privacy Shield oder der sogenannten Standardvertragsklauseln. Beide Rechtsgrundlagen wurden vom Europäischen Gerichtshof...
LfDI BW:

1,24 Mio Bußgeld gegen AOK Baden-Württemberg

Die Datenschutzbehörden verhängen zunehmend empfindliche Bußgelder bei Datenschutzverstößen. Nun verhängte der Landesdatenschutzbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg ein empfindliches...
OLG Köln:

Bye Bye Jameda?

Bislang hatten Ärzte die nicht auf der Ärztebewertungsplattform Jameda gelistet werden wollen, schlechte Karten. Der Bundesgerichtshof hatte dem Ansinnen von Ärzten die sich gegen ein Zwangslisting bei Jameda wehrten vielfach...
OLG Stuttgart:

DSGVO-Verstoß kann doch abgemahnt werden

Ist ein DSGVO-Verstoß wettbewerbswidrig und drohen Abmahnungen bei Nichtbeachtung der datenschutzrechtlichen Vorgaben? Bei dieser zwischen Juristen umstrittenen Frage hat das Oberlandesgericht Stuttgart nun eindeutig Position...

Rechtsgebiete zu dieser News

Rechtsgebiete zu dieser News

Datenschutzrecht


Dienstleistungen zu dieser News

Dienstleistungen zu dieser News

Beratung zum

Datenschutzrecht

Externer
Datenschutz-
beauftragter

Beratung E-Commerce

Beratung Onlinewerbung

Beratung Social Media


Ähnliche News

Ähnliche News

Amazon

amazon e-commerce Rechtsanwalt

Datenschutz

Datenschutz Rechtsanwalt DSGVO

Google