Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

USA und EU einigen sich auf neues transatlantisches Datenschutzabkommen

28.03.2022, 10:24 Uhr | Lesezeit: 5 min
USA und EU einigen sich auf neues transatlantisches Datenschutzabkommen

Seit der EuGH im Juli 2020 das US-EU-Privacy Shield kassierte, hängt die Rechtmäßigkeit von Datentransfers aus Europa in die USA in der Schwebe. Tausende internetbasierte Dienste und Web-Anwendungen sind betroffen. Das Privacy Shield sollte als Angemessenheitsbeschluss die Einhaltung von DSGVO-Standards in den USA sicherstellen, scheiterte aber an weitgehend unbegrenzten Datenzugriffsbefugnissen von US-Geheimdiensten. Am 25.03.2022 verkündeten nun die EU und die USA die Verabschiedung einer neuen Datenschutzübereinkunft, die als Rahmenwerk für die Rechtskonformität transatlantischer Datenübermittlungen sorgen soll.

I. Wegfall des Privacy Shields und Standardvertragsklauseln als unzureichende Alternative

Für die Übermittlung von personenbezogenen Daten aus der EU ins außereuropäische Ausland schreibt die DSGVO in Art. 44-46 geeignete Garantien vor.

Als eine solche Garantie (in Form eines Angemessenheitsbeschlusses) speziell für Datenübermittlungen in die USA galt bis zur Kassation durch den EuGH (Urteil vom 16.07.2020 – Az. C-311/18) das EU-US-Datenschutzschild „Privacy Shield“, auf das sich nahezu alle US-Diensteanbieter für Aktivitäten in der EU sich standardmäßig beriefen.

Ein wesentlicher Grund für die Erklärung der Ungültigkeit des „Privacy Shield“ durch den EuGH war, dass US-Sicherheitsbehörden weitreichende Zugriffsrechte auf Datenbestände haben, die in den USA verarbeitet werden (etwa nachrichtendienstliche Erhebungsbefugnisse aus Section 702 FISA und Executive Order 12 333) und dass insofern die Sicherheit und Kontrolle der Betroffenen über Ihre Daten in den USA nicht hinreichend gewährleistet sei.

Nach dem Wegfall des Schutzschildes konnten Übermittlungen von EU-Daten in die USA zunächst nicht weiter gerechtfertigt werden. Sie drohten, rechtswidrig zu sein.

Einen Ausweg suchten US-Unternehmen sodann in der Implementierung sog. „Standardvertragsklauseln“ (englisch: Standard Contractual Clauses – „SCC“), die in von der EU-Kommission genehmigter Form gem. Art. 46 DSGVO die Rechtskonformität von Drittstaatentransfers sicherstellen können.

Aus datenschutzrechtlicher Sicht ist die Implementierung von Standardvertragsklauseln allein aber nicht ausreichend, um Datenschutzrisiken bei Übertragung von personenbezogenen Daten aus der EU in die USA wirksam zu unterbinden.

Die Zugriffsbefugnisse der US-Geheimdienste, die bereits das Privacy Shield zu Fall brachten, können durch Standardvertragsklauseln nämlich nicht ausgehebelt werden.

Für Betroffene aus Europa kann dies mit einem hohen Datensicherheitsrisiko einhergehen, weil sie im Zweifel nicht wissen, ob, wie und zu welchen Zwecken ihre Daten behördlich genutzt werden. Auch haben sie keine Interventionsrechte, um vom Zugriff erfasste Daten nachträglich in Auskunft zu bringen, zu löschen oder zu berichtigen.

Die bloße Anwendung von genehmigten Standardvertragsklauseln kann die Verpflichtung von US-Unternehmen, auf behördliches Gesuch hin umfangreiche Daten zur Verfügung zu stellen, aber nicht aufheben. Die Klauseln gelten nur „inter partes“, also zwischen dem Datenexporteur und dem Datenimporteur, hebeln aber gesetzlich oder gewohnheitsrechtlich verankerte Zugriffs- und Dateninterventionsrechte von US-Behörden nicht aus.

Nach Ansicht führender Datenschützer sind daher auf Unternehmensebene zusätzliche Maßnahmen zum Schutz von EU-Daten erforderlich, etwa die vollständige Anonymisierung oder zumindest Verschlüsselung von EU-Datenbeständen auf US-Servern, um behördliche Zugriffsmöglichkeiten auf Klardaten aus der EU zu verhindern.

Insofern betonte bereits die Datenschutzkonferenz der Bundesländer ausdrücklich, dass bei Datenübertragungen in die USA die bloße Aufnahme von Standard-Datenschutzklauseln nicht ausreicht, um einen angemessenen Datenschutz auf der anderen Seite des Atlantik zu gewährleisten.

Auch für die neuen, mit Durchführungsbeschluss vom 04.06.2021 beschlossenen Standardvertragsklauseln der EU-Kommission bestehen die datenschutzrechtlichen Bedenken fort.

Banner Starter Paket

II. EU und USA verkünden neues „Privacy Framework"

Am 25.03.2022 haben die EU und die USA nun allerdings die Einigung auf ein neues transatlantisches Datenschutzabkommen (englischer Arbeitstitel „Trans-Atlantic Data Privacy Framework“) angekündigt, das vor allem die strukturellen Schwachstellen der Datenhoheit und -kontrolle in den USA adressieren und für die künftige uneingeschränkte Rechtskonformität von EU-US-Datentransfers sorgen soll.

Das neue Übereinkommen soll insbesondere folgende Neuerungen beinhalten:

  • verbindliche Garantien, um den Zugriff der US-Geheimdienste auf Daten auf das zu beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist
  • verpflichtende Verfahren für US-Geheimdienste, die eine wirksame Überwachung der neuen Standards für den Schutz der Privatsphäre und der bürgerlichen Freiheiten gewährleisten
  • die Einrichtung eines zweistufigen Rechtsbehelfssystem zur Untersuchung und Beilegung von Beschwerden von Europäern über den Zugang zu Daten durch US-Geheimdienste, das auch ein unabhängiges Datenschutzüberprüfungsgericht umfasst

Das neue Datenschutzübereinkommen soll nun von beiden Vertragsparteien ratifiziert, in einen entsprechenden gesetzlichen Rahmen gefasst und mit den vereinbarten Umsetzungsmaßnahmen umgesetzt werden.

Wann das neue Rahmenwerk in Kraft tritt, ist zwar noch unklar. Fest steht aber, dass sein starker Fokus auf die Behebung struktureller Datensicherheitsprobleme in den USA nach derzeitigem Stand die notwendige Tragweite aufweist, um künftige Datenübermittlungen in die USA lückenlos DSGVO-konform zu machen.

III. Fazit

Nachdem im Jahr 2020 das EU-US-Privacy-Shield vom EuGH für ungültig erklärt worden war, sollte zunächst die Vereinbarung von Standardvertragsklauseln für die Rechtskonformität von EU-US-Datentransfers sorgen.

Allerdings werden hierdurch potenzielle Sicherheitsrisiken durch Zugriffsbefugnisse von US-Geheimdiensten nicht hinreichend beschränkt, was den Standardklauselwerken ihre rechtliche Legalisierungswirkung abspricht.

Am 25.03.2022 haben die USA und die EU nun ein neues Datenschutzübereinkommen („Trans-Atlantic Data Privacy Framework“) angekündigt, das vor allem an den strukturellen Schwachstellen der behördlichen Kompetenzverteilung in den USA ansetzen, US-Geheimdienste zur Einrichtung verbindlicher Datenschutzgarantien verpflichten und ein effizientes Rechtsbehelfssystem unter Gründung eines unabhängigen Datenschutzgerichts einführen soll.

Sobald das Abkommen ratifiziert wurde, spricht vieles dafür, dass es bis auf Weiteres als hinreichende Grundlage für die allgemeine Rechtskonformität von Datenübermittlungen in die USA wird gelten können.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
(28.03.2024, 12:24 Uhr)
OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
(15.03.2024, 08:17 Uhr)
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
(16.02.2024, 10:48 Uhr)
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
(05.01.2024, 13:23 Uhr)
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
(02.01.2024, 09:42 Uhr)
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
(04.12.2023, 08:13 Uhr)
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei