Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
BILD Marktplatz
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage ohne Verkauf
Hood
Hornbach
Hosting
Hosting B2B
Impressum für Webseiten
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Marktplätze
Kaufland DE,CZ,SK
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Leroy Merlin
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OnlyFans
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
DE Shop - Online-Kurse (live oder on demand) DE
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
Voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

EU-Kommission erlässt Angemessenheitsbeschluss für US-Datentransfers: Was Unternehmer nun wissen müssen

11.07.2023, 14:21 Uhr | Lesezeit: 5 min
EU-Kommission erlässt Angemessenheitsbeschluss für US-Datentransfers: Was Unternehmer nun wissen müssen

Nach der Kassation des EU-US-Privacy Shield durch den EuGH im Jahr 2020 fehlten staatlich anerkannte Datenschutzgarantien für die Übermittlung von personenbezogenen Daten in die USA. Am 10.07.2023 hat die EU-Kommission nun einen neuen Angemessenheitsbeschluss für das Nachfolgeabkommen, das sog. „EU-US Data Privacy Framework“, erlassen und so grünes Licht für künftige Datentransfers an US-Unternehmen gegeben. Was der neue Angemessenheitsbeschluss vorsieht, welche neuen Mechanismen implementiert wurden und ab wann bzw. unter welchen Umständen Datenübermittlungen in die USA nun rechtskonform möglich sind, zeigt dieser Beitrag.

I. Das EU-US-Data Privacy Framework: Entstehungsgeschichte

Für die datenschutzkonforme Übermittlung personenbezogener Daten an Drittstaaten außerhalb der EU verlangt die DSGVO gemäß Art. 44 ff. geeignete Datenschutzgarantien.

Nachdem das EU-US-Privacy Shield, das über Jahre hinweg eben solche Garantien für den Schutz personenbezogenen Daten aus der EU bei Transfers in die USA gewährleisten sollten, im Jahr 2020 vor dem EuGH scheiterte, bestanden große Unsicherheiten über die künftige Rechtskonformität transatlantischer Datenübermittlungen.

Das EU-US-Privacy Shield war mit einem Angemessenheitsbeschluss der EU-Kommission verbunden, der als Garant angemessener Datenschutzmechanismen im Sinne von Art. 45 DSGVO Datenübermittlung an dem Schild angeschlossene US-Unternehmen insgesamt rechtfertigte.

Das Privacy Shield vermochte allerdings nicht, weitgehende Zugriffsbefugnisse von US-Behörden, insbesondere der US-Geheimdienste, auf übermittelte Datenbestände zu unterbinden oder zu regulieren, und wurde daher schließlich als für den Schutz der Rechte und Freiheiten von EU-Bürgern unzureichend verworfen.

In der Folgezeit sollten alternative und von Art. 46 DSGVO grundsätzlich anerkannte Mechanismen, vor allem verbindliche interne Datenschutzvorschriften und Standardvertragsklauseln (englisch: „Standard Contractual Clauses“ (SCCs)), für geeignete Datenschutzgarantien bei US-Transfers sorgen und jene datenschutzkonform ausgestalten.

Führende Datenschutzbehörden mahnten jedoch an, dass derartige Maßnahmen nur die betroffenen Unternehmen selbst binden, nicht aber die staatlichen Zugriffsrechte der US-Behörden einschränken und mithin das Kernproblem der Datenschutzbedenken nicht beseitigen konnten.

Auf Druck der Wirtschaft nahmen die EU und die USA daher schnell Verhandlungen über ein neues Datenschutzübereinkommen auf, das den Titel „EU-US Data Privacy Framework“ tragen und bisherige Mängel des „Privacy Shield“ beheben sollte.

Nach Vorstellung des neuen Regelwerks im März 2022 führten Revisionen und notwendige Neukonsolidierungen zu einer Verzögerung des Inkrafttretens, bis die EU-Kommission am 10.07.2023 den finalen Angemessenheitsbeschluss für den neuen EU-US-Datenschutzrahmen erlassen konnte.

Dieser gilt als anerkannte Rechtfertigung von Datenübermittlungen an am neuen Datenschutzrahmen teilnehmende US-Unternehmen und hebt insoweit datenschutzrechtliche Unsicherheiten und Risiken bis auf Weiteres vollständig auf.

Banner Unlimited Paket

II. Neue Datenschutzmaßnahmen des EU-US Data Privacy Framework

Um den Rügen des EuGH in Bezug auf das kassierte Privacy Shield zu begegnen, wurden im Zuge der Übereinkunft über den EU-US-Datenschutzrahmen diverse neue Datenschutzmechanismen ausgehandelt.

So ist die Einrichtung eines Gerichts zur Datenschutzüberprüfung („Data Protection Review Court“) in den USA vorgesehen, zu dem EU-Betroffene Zugang haben sollen.

Außerdem wurden per Dekret (Executive Order 14086) Zugriffsbefugnisse zum Zweck der Strafverfolgung und nationalen Sicherheit beschränkt und sollen nun nur noch dann gegeben sein, wenn sie notwendig sind und verhältnismäßig ausgeübt werden.

Schließlich wurden neue Überwachungskompetenzen und -prozesse zur Kontrolle der Einhaltung der neuen Maßnahmen geschaffen.

III. Datenschutzkonformität nur bei Zertifizierung von US-Unternehmen

Anders als im Verhältnis zu anderen Drittstaaten rechtfertigt der Angemessenheitsbeschluss der EU-Kommission Datenübermittlungen in die USA nicht universell.

Er wurde nicht für die USA, sondern für das „EU-US Data Privacy Framework“ erlassen und billigt daher nur Datentransfers, die unter dem Schirm des neuen Übereinkommens vollzogen werden.

Wie auch beim Vorgänger, dem Privacy Shield, sind US-Unternehmen, die sich auf die datenschutzkonforme Handhabung von EU-Daten berufen wollen und deren Handhabung von EU-Daten durch den Angemessenheitsbeschluss erfasst sein sollen, gehalten, sich für das neue Übereinkommen zu zertifizieren. Die Zertifizierung soll durch Selbstverpflichtung auf den Datenschutzrahmen und (partielle) Prüfungen der Maßnahmenumsetzung erfolgen.

IV. Fortbestand von Zertifizierungen nach ehemaligem Privacy Shield?

Laut einer offiziellen Mitteilung des US-Wirtschatfsministeriums vom 10.07.2023 wird in den kommenden Tagen eine neue offizielle Website veröffentlicht, auf der aktive Zertifizierungen von US-Unternehmen nach dem neuen Datenschutzrahmen eingesehen werden können und auf der teilnahmewilligen US-Unternehmen der Übergang vom Privacy Shield zum neuen Data Privacy Framework ermöglicht werden soll.

Unklar ist zum jetzigen Zeitpunkt (Stand: 11.07.2023), ob nach dem ehemaligen EU-US-Privacy Shield vollzogene Zertifizierungen auch unter dem neuen Datenschutzstandard automatisch fortgelten oder ob zuvor zertifizierte Unternehmen einen neuen Selbstverpflichtungs- und Zertifizierungsprozess werden durchlaufen müssen.

V. Updates der Datenschutzerklärungen von Kanzleimandanten

Der neue Angemessenheitsbeschluss wirkt sich maßgeblich auf Datenschutzerklärungen für Online-Shops, Homepages und Handelsplattformen aus.

Unternehmer, die ein Schutzpaket der IT-Recht Kanzlei gebucht haben, profitieren im Rahmen des Update-Service von automatischen Anpassungen der betroffenen Rechtstexte.

Sobald gemäß internationalem Dialog und nach offiziellen staatlichen Mitteilungen feststeht,

  • ob bestehende Privacy-Shield-Zertifizierungen im neuen Datenschutzrahmen fortgelten oder Neuzertifizierungen erforderlich sind und
  • welche US-Unternehmen sich dem neuen EU-US Privacy Framework erfolgreich angeschlossen haben

wird die IT-Recht Kanzlei betroffene Datenschutzerklärungen für

  • Online-Shops
  • Homepages
  • Handelsplattformen wie Amazon, eBay, Etsy usw.

umfänglich aktualisieren und Klauseln, die über Datentransfers an so zertifizierte US-Unternehmen informieren, unter Hinweis auf die neue Rechtfertigung der Datenverarbeitungen gemäß dem Angemessenheitsbeschluss für das EU-US Data Privacy Framework abändern.

Sobald die Aktualisierung erfolgt, werden Mandanten hierüber gesondert informiert.

VI. Fazit: Neuer Angemessenheitsbeschluss ermöglicht rechtskonforme US-Datentransfers

Am 10.07.2023 hat die Europäische Kommission den von der Wirtschaft lang herbeigesehnten Angemessenheitsbeschluss für das „EU-US Data Privacy Framework“ erlassen, der Datentransfers im Rahmen dieser Übereinkunft allgemein legitimiert und für datenschutzkonform erklärt.

An US-Unternehmen, die sich dem neuen Datenschutzrahmen angeschlossen haben, können ab sofort wieder rechtskonform personenbezogene Daten aus der EU übermittelt werden.

Unklar ist aktuell (Stand: 11.07.2023) noch, ob für diesen Anschluss bestehende Zertifizierungen nach dem ehemaligen Privacy Shield ausreichen oder ob ein neues Teilnahmeverfahren eingerichtet wird.

Das US-Wirtschaftsministerium wird sich hierzu positionieren.

Sobald eine Liste der am neuen Datenschutzrahmen teilnehmenden US-Unternehmen veröffentlicht ist, wird die IT-Recht Kanzlei alle betroffenen Klauseln zu Datentransfers an diese Unternehmen in den Datenschutzerklärungen aktualisieren.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

Schutz vor Hacking: Musterschreiben für Händler bei Online-Angriffen
(10.06.2024, 14:40 Uhr)
Schutz vor Hacking: Musterschreiben für Händler bei Online-Angriffen
Online-Shop gehackt: DSGVO-konforme Reaktion auf Datenpannen - Anleitung & Musterbenachrichtigung
(07.06.2024, 11:46 Uhr)
Online-Shop gehackt: DSGVO-konforme Reaktion auf Datenpannen - Anleitung & Musterbenachrichtigung
Muster für DSGVO-konforme Reaktion auf Datenpanne im Online-Shop
(07.06.2024, 11:26 Uhr)
Muster für DSGVO-konforme Reaktion auf Datenpanne im Online-Shop
OLG Stuttgart: Personalisierte Briefwerbung nach DSGVO ohne Einwilligung zulässig
(06.06.2024, 07:39 Uhr)
OLG Stuttgart: Personalisierte Briefwerbung nach DSGVO ohne Einwilligung zulässig
LG Hamburg: Gastzugang in Online-Shops kann datenschutzrechtlich entbehrlich sein
(13.05.2024, 11:02 Uhr)
LG Hamburg: Gastzugang in Online-Shops kann datenschutzrechtlich entbehrlich sein
Google Consent Mode im Datenschutz-Check: Tracking-Revolution oder rechtliches Risiko?
(29.04.2024, 14:33 Uhr)
Google Consent Mode im Datenschutz-Check: Tracking-Revolution oder rechtliches Risiko?
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei