Datenschutz-Akademie » Datenschutz-News » EU-US Data Privacy Framework

Das neue Abkommen mit der USA: das EU-U.S. Data Privacy Framework

Version ab Juli 2023

Das EU-US Data Privacy Framework

Im Juli 2023 ist das EU-US Data Privacy Framework (EU-US DPF) zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA) in Kraft getreten. Das Datenschutzabkommen wurde im Jahr 2022 vereinbart und ersetzt das Privacy Shield, das im Jahr 2020 vom Europäischen Gerichtshof für ungültig erklärt wurde. Das EU-US DPF soll sicherstellen, dass die Daten von EU-Bürgern, die in die USA übertragen werden, weiterhin den hohen Datenschutzstandards der EU unterliegen. Im folgenden Beitrag erfahren Sie, was Unternehmen jetzt beachten und erledigen müssen. Außerdem erhalten Sie Antworten auf die häufigsten Fragen zum EU-US Data Privacy Framework.

Wichtigste Informationen über die EU Standardvertragsklauseln

  • Am 10. Juli 2023 ist das EU-US Privacy Data Framework in Kraft getreten.
  • Dabei handelt es sich um ein Datenschutzabkommen zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA).
  • Das EU-U.S. Data Privacy Framework ist der dritte Versuch der EU-Kommission, nach Safe Harbor und EU-U.S. Privacy Shield, den Transfer personenbezogener Daten in die USA ohne zusätzliche Garantien zu ermöglichen.
  • Nach dem sogenannten „Schrems II“ Urteil des EuGH im Jahr 2020 fehlte Unternehmen die Rechtsgrundlage zur Übermittlung personenbezogener Date in die USA. Diese Rechtsgrundlage schafft das EU-U.S. Privacy Data Framework.
  • Der neue Angemessenheitsbeschluss ist Datenschützern allerdings nicht wirkungsvoll genug. Eine erneute Klage durch den der Datenschutzaktivisten Max Schrems und sein NGO none of your business (noyb) ist bereits angekündigt.

Aktueller Stand und Entstehung des EU-US Data Privacy Framework

Das EU-U.S. Data Privacy Framework (EU-U.S. DPF) ist ein neues Datenschutzabkommen zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA). Es wurde am 25. März 2022 angekündigt und am 10. Juli 2023 von der Europäischen Kommission angenommen und in Kraft gesetzt.

Hier sind einige der wichtigsten Ereignisse, die zur Entwicklung des EU-U.S. DPF geführt haben:

  • Juli 2023: Der Angemessenheitsbeschluss und somit das EU-U.S. Data Privacy Framework wird von der Europäischen Kommission angenommen und in Kraft gesetzt.
  • Dezember 2022: Die Europäische Kommission legt, basierend auf der Executive Order, einen Entwurf für einen Angemessenheitsbeschluss nach Artikel 45 DSGVO vor.
  • Oktober 2022: Erlass einer Executive Order durch den Präsidenten der USA.
  • März 2022: Die Europäische Kommission und die US-Regierung einigen sich auf das „EU-U.S. Data Privacy Framework“.
  • 2021: Die EU und die USA beginnen mit Verhandlungen über ein neues Datenschutzabkommen.
  • 2020: Der Europäische Gerichtshof (EuGH) erklärt das Privacy Shield Abkommen für ungültig. Der EuGH begründet seine Entscheidung mit der Tatsache, dass das Abkommen keinen wirksamen Schutz der Daten von EU-Bürgern vor dem Zugriff von US-Geheimdiensten bietet.
  • 2016: Die Europäische Union (EU) und die Vereinigten Staaten (USA) unterzeichnen das Privacy Shield Abkommen. Das Abkommen soll den Datenverkehr zwischen der EU und den USA ermöglichen, ohne die Datenschutzrechte von EU-Bürgern zu beeinträchtigen.
  • 2015: Der Europäische Gerichtshof erklärt Safe Harbor für ungültig. Der EuGH kam zu dem Schluss, dass der Safe Harbor-Rahmen nicht ausreichte, um die Rechte von EU-Bürgern bei der Verarbeitung ihrer Daten in den USA zu schützen.
  • 2020: Das Safe Harbor Abkommen wird von der EU-Kommission genehmigt und basierte auf den Grundsätzen des Datenschutzes der EU.

Whitepaper EU-U.S. Data Privacy Framework

Whitepaper: EU-U.S. Data Privacy Framework

Im Whitepaper EU-U.S. Data Privacy Framework finden Sie:

  • Informationen zur Entstehung und zu Hintergründen des EU-U.S. DPFs
  • Detailierte Inhalte, Vorteile und Kritik zum Angemessenheitsbeschluss
  • Tipps  zur praktischen Anwendung des EU-U.S. Data Privacy Frameworks

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

Hintergrund zum EU-US Data Privacy Framework

Schrems II und das EU-US Data Privacy Framework

Das EU-US Data Privacy Framework ist eine Reaktion auf das Urteil des Europäischen Gerichtshofs (EuGH) im Fall Schrems II. In diesem Urteil hat der EuGH das EU-US Privacy Shield, ein Abkommen zum Schutz personenbezogener Daten bei der Übertragung von Daten zwischen der EU und den USA, für ungültig erklärt. Der Grund für die Ungültigkeit des Privacy Shields war, dass es keine ausreichenden Garantien für den Schutz der Daten von EU-Bürgern vor dem Zugriff von US-Geheimdiensten bot.

Das neue Datenschutzabkommen soll die Lücken schließen, die im Privacy Shield zu Tage getreten sind, deswegen wird das EU-US Data Privacy Framework auch als „Privacy Shield 2.0“ bezeichnet. Das Privacy Shield 2.0 enthält eine Reihe von neuen Bestimmungen, die den Schutz der Daten von EU-Bürgern in den USA sicherstellen sollen. Dazu gehören die Beschränkung des Zugriffs von US-Geheimdiensten auf EU-Daten, die Schaffung eines unabhängigen Beschwerdemechanismus und die Verpflichtung von US-Unternehmen, die Daten von EU-Bürgern gemäß der Datenschutzstandards der EU zu behandeln.

Executive Order zum EU-US Data Privacy Framework

Die Executive Order zum EU-US Data Privacy Framework wurde am 7. Oktober 2022 von Präsident Joe Biden unterzeichnet. Eine Executive Order (EO) ist ein Rechtsakt, der vom Präsidenten der Vereinigten Staaten erlassen wird. EOs werden verwendet, um die Bundesverwaltung zu leiten und zu regeln, und sie können auch verwendet werden, um neue Bundespolitik zu schaffen. EOs haben jedoch nicht die gleiche Autorität wie Gesetze, die vom Kongress verabschiedet werden, und sie können vom Obersten Gerichtshof angefochten werden.

Die EO zum EU-US Data Privacy Framework hat zwei Hauptziele:

  • Sie soll die transatlantischen Datenströme wiederherstellen, die durch das Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2020 unterbrochen wurden.
  • Sie soll neue Sicherheitsvorkehrungen für die Verarbeitung personenbezogener Daten von EU-Bürgern durch US-Dienstleister schaffen.

Hier ist der Link zur Executive Order (Englisch)

Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA

Der Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA ist ein Rechtsakt der Europäischen Kommission, der festlegt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, die Unternehmen aus der EU an US-Unternehmen übermitteln.

Ein Angemessenheitsbeschluss ist ein Rechtsakt der Europäischen Kommission, der besagt, dass ein Drittland (ein Land außerhalb der Europäischen Union) ein angemessenes Datenschutzniveau für die Verarbeitung personenbezogener Daten von EU-Bürgern bietet. Die Europäische Kommission erlässt einen Angemessenheitsbeschluss auf der Grundlage einer Reihe von Faktoren, einschließlich der Rechtsvorschriften des Drittlandes, der Praktiken der Datenverarbeiter und der Überwachungsmechanismen des Drittlandes.

Wenn die Europäische Kommission einen Angemessenheitsbeschluss erlässt, bedeutet dies, dass die Verarbeitung personenbezogener Daten von EU-Bürgern in diesem Drittland ohne zusätzliche Schutzmaßnahmen zulässig ist. Wenn die Europäische Kommission keinen Angemessenheitsbeschluss erlässt, müssen Unternehmen, die personenbezogene Daten von EU-Bürgern in dieses Drittland übermitteln, weitere geeignete Schutzmaßnahme (wie Standardvertragsklauseln) prüfen. Wenn keine der angemessenen Garantien anwendbar ist, ist eine Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation nur unter besonderen Umständen zulässig, die eine Ausnahme rechtfertigen.

Hier ist der Link zum Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA der Europäischen Kommision.

Inhalte des EU-US Data Privacy Framework

Das EU-US Data Privacy Framework ist ein Nachfolger des Privacy Shield-Abkommens, das vom Europäischen Gerichtshof (EuGH) im Juli 2020 für ungültig erklärt wurde. Das EUDPRF basiert auf den gleichen Grundprinzipien wie das Privacy Shield-Abkommen, bietet jedoch auch zusätzliche Schutzmechanismen für EU-Bürger.

Ziel des EU-US Data Privacy Framework

Das Ziel des EU-US Data Privacy Framework (EU-US DPF) ist es, den transatlantischen Datentransfer zu ermöglichen, indem es ein hohes Maß an Datenschutz für die personenbezogenen Daten von EU-Bürgern gewährleistet. Das Framework basiert auf den Grundsätzen der Rechtmäßigkeit, Fairness und Transparenz, der Zweckbindung und Datenminimierung, der Datengenauigkeit und Speicherbegrenzung, der Integrität und Vertraulichkeit sowie der Rechte der betroffenen Person.

Das Abkommen enthält auch einen zweistufigen Rechtsschutzmechanismus, der es den betroffenen Personen ermöglicht, gegen Rechtsverstöße bei der Überwachung durch US-Geheimdienste zu klagen.

Regelungen des EU-US Data Privacy Framework

Das EU-US Data Privacy Framework (EU-US DPF) enthält eine Reihe von Regelungen, die den transatlantischen Datentransfer regeln. Die wichtigsten Regelungen sind:

  • Grundprinzipien: Das EU-US DPF basiert auf den Grundsätzen der Rechtmäßigkeit, Fairness und Transparenz, der Zweckbindung und Datenminimierung, der Datengenauigkeit und Speicherbegrenzung, der Integrität und Vertraulichkeit sowie der Rechte der betroffenen Person.
  • Rechtsschutzmechanismus: Das EU-US DPF enthält einen zweistufigen Rechtsschutzmechanismus, der es den betroffenen Personen ermöglicht, gegen Rechtsverstöße bei der Überwachung durch US-Geheimdienste zu klagen.
  • Aufsichtsbehörden: Das EU-US DPF sieht die Einrichtung von zwei Aufsichtsbehörden vor, die für die Überwachung der Einhaltung des Rahmenwerks zuständig sind. Eine Aufsichtsbehörde wird von der EU und die andere von den USA eingerichtet.
  • Überwachung: Das EU-US DPF sieht vor, dass die Aufsichtsbehörden die Einhaltung des Rahmenwerks durch Unternehmen überwachen. Die Aufsichtsbehörden können auch Sanktionen gegen Unternehmen verhängen, die das Rahmenwerk nicht einhalten.

Grundprinzipien des EU-US Data Privacy Framework

Das EU-US Data Privacy Framework basiert auf den folgenden Grundprinzipien:

  • Auf der Grundlage des neuen Frameworks können Daten frei und sicher zwischen der EU und teilnehmenden US-Unternehmen fließen.
  • Implementierung eines neuen Regelwerks und verbindlicher Schutzmaßnahmen, um den Zugriff der US-Geheimdienste auf Daten auf ein Maß zu beschränken, das zum Schutz der nationalen Sicherheit erforderlich und verhältnismäßig ist; US-Geheimdienste werden Verfahren einführen, um eine wirksame Überwachung neuer Standards im Datenschutz und der bürgerlichen Freiheit sicherzustellen
  • Ein neues zweistufiges Rechtsbehelfssystem zur Untersuchung und Lösung von Beschwerden von Europäern über den Zugriff von US-Geheimdiensten auf Daten, einschließlich eines Datenschutzprüfungsgerichts
  • Strenge Verpflichtungen für Unternehmen, die aus der EU übermittelte Daten verarbeiten, einschließlich der Anforderung einer Selbstzertifizierung zur Einhaltung der Standards, über das US Department of Commerce
  • Spezifischen Überwachungs- und Überprüfungsmechanismen

Zweistufiger Rechtsschutzmechanismus des EU-US DPF

Das EU-US Data Privacy Framework enthält einen zweistufigen Rechtsschutzmechanismus, der es den betroffenen Personen ermöglicht, gegen Rechtsverstöße bei der Überwachung durch US-Geheimdienste zu klagen.

Im ersten Schritt werden Beschwerden vom sogenannten „Civil Liberties Protection Officer“ des US-Geheimdienstes untersucht. Diese Person ist dafür verantwortlich, dass die US-Geheimdienste die Privatsphäre und die Grundrechte einhalten.

Im zweiten Schritt haben Betroffene die Möglichkeit, gegen die Entscheidung des „Civil Liberties Protection Officer“ vor dem neu geschaffenen „Data Protection Review Court“ (DPRC) Berufung einzulegen. Dieses Gericht besteht aus Mitgliedern außerhalb der US-Regierung, diese sind befugt, Beschwerden von EU-Bürgern zu untersuchen, einschließlich der Einholung relevanter Informationen von Geheimdiensten und kann verbindliche Abhilfeentscheidungen treffen. Stellt die DPRC beispielsweise fest, dass die Datenerhebung unter Verstoß gegen die in der Executive Order vorgesehenen Schutzmaßnahmen erfolgt ist, kann sie die Löschung der Daten anordnen.

Der zweistufige Rechtsschutzmechanismus des EU-US DPF ist umstritten. Einige Experten kritisieren, dass der Mechanismus zu schwach sei und dass die betroffenen Personen nur schwer gegen Rechtsverstöße vorgehen können. Andere Experten argumentieren, dass der Mechanismus ein wichtiger Schritt zur Stärkung des Datenschutzes für den transatlantischen Datentransfer ist.

Geltungsbereich des EU-US DPF und Auswirkungen auf Standardvertragsklauseln und Binding Corporate Rule

Alle von der US-Regierung im Bereich der nationalen Sicherheit eingeführten Schutzmaßnahmen (einschließlich des Rechtsbehelfsmechanismus) gelten für alle Datenübermittlungen im Rahmen der DSGVO an Unternehmen in den USA, unabhängig von den verwendeten Übertragungsmechanismen. Diese Schutzmaßnahmen erleichtern daher auch den Einsatz anderer Instrumente, wie z. B. Standardvertragsklauseln und Binding Corporate Rules. Das bedeutet, dass ein Datentransfer auch an Unternehmen, die nicht über die Liste des U.S. Department of Commerce zertifiziert sind möglich ist, insofern das Unternehmen andere geeignete Garantien umsetzt.

Unternehmen, die den Datenaustausch bspw. auf die Standardvertragsklauseln (engl. Standard Contractual Clauses (SCC)) stützen, können dies weiterhin, müssen aber verpflichtend ein Daten-Transfer-Folgenabschätzung (Transfer Impact Assessment – TIA) durchführen.

Bedeutung des EU-US Data Privacy Framework

Das EU-US Data Privacy Framework stellt die transatlantischen Datenströme wieder her, die durch das Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2020 unterbrochen wurden. Seit dem gab es für Unternehmen viele Unsicherheiten bei der Übermittlung personenbezogener Daten von EU-Bürgern an US-Dienstleister. Das Framework soll nun den transatlantischen Datentransfer wieder erleichtern und die Rechte von EU-Bürgern bei der Verarbeitung ihrer personenbezogenen Daten in den USA schützen.

Das EU-US DPF ist daher ein wichtiger Schritt zur Stärkung des Datenschutzes für den transatlantischen Datentransfer. Es bleibt allerdings abzuwarten, ob das Framework von den Gerichten akzeptiert wird.

Laut Pressemitteilung der Europäischen Kommission sollen mit dem Framework der transatlantische Datenverkehr gefördert und die vom Gerichtshof der Europäischen Union im Schrems-II-Urteil vom Juli 2020 geäußerten Bedenken ausgeräumt werden. Der neue Rahmen, stellt laut Aussage der Europäischen Kommission, eine „bisher einmalige Selbstverpflichtung der USA zu Reformen dar, die den Schutz der Privatsphäre und der bürgerlichen Freiheiten bei der signalerfassenden Aufklärung durch die USA stärken werden“.

Welche Vorteile bietet das EU-US DPF?

Die Vorteile des EU-US DPF sind:

  • Es bietet einen angemessenen Schutz der in die USA übertragenen Daten von Europäern, unter Berücksichtigung des Urteils von der Europäische Gerichtshof (Schrems II).
  • Es erleichtert den transatlantischen Datentransfer und sorgt für sichere Datenflüsse.
  • Es soll Rechtssicherheit für Unternehmen schaffen, die personenbezogene Daten von EU-Bürgern in die USA übertragen durch eine dauerhafte und verlässliche Rechtsgrundlage.
  • Es stärkt das Vertrauen zwischen der EU und den USA in Bezug auf den Datenschutz.
  • Es ermöglicht einen kontinuierlichen Datenfluss, der jedes Jahr den grenzüberschreitenden Handel im Wert von 900 Milliarden Euro unterstützt.
  • Es fördert die wettbewerbsfähige digitale Wirtschaft und wirtschaftliche Zusammenarbeit.

Kritik am EU-US DPF?

Das EU-US DPF ist zwar ein wichtiger Schritt zur Stärkung des transatlantischen Datentransfer, es steht allerdings auch in der Kritik. Einige Kritikpunkte sind:

  • Der zweistufige Rechtsschutzmechanismus ist umstritten und es ist unklar, ob er von den Gerichten akzeptiert wird. Daher ist umstritten ob das Framework wirklich rechtssicher ist.
  • Die US-Geheimdienste haben nach wie vor Befugnisse zur Überwachung von Daten und es ist unklar, ob das Framework diese Befugnisse wirksam einschränken kann. Das EU-US Data Privacy Framework ist vielen Datenschützern nicht wirkungsvoll genug.

Der Datenschutzaktivisten Max Schrems bezeichnet das EU-US Data Privacy Framework als eine „Kopie des gescheiterten Privacy Shield“. Er und sein NGO none of your business (noyb) haben bereits in einer Pressemitteilung angekündigt, erneut Klage einzureichen.

Praktische Anwendung des EU-US Data Privacy Framework

Zertifizierte Unternehmen aus der USA

Das EU-US Data Privacy Framework verfolgt den sektoralen Ansatz. Das bedeutet, dass nur an zertifizierte Unternehmen personenbezogenen Daten übermittelt werden dürfen. Diese Zertifizierung erfolgt durch das U.S. Department of Commerce.

Möchte ein EU-Unternehmen also mit einem Unternehmen aus der USA arbeiten, prüft es zunächst, ob dieses US-Unternehmen zertifiziert ist. Ist dies der Fall, können personenbezogene Daten an diese Unternehmen übermittelt werden, ohne Anwendung zusätzlicher Datenschutzgarantien, wie beispielsweise Standardvertragsklauseln (SCC).

EU-US Data Privacy Framework in 6 Schritten umsetzen

Identifizieren alle US-Dienstleister und Unternehmen die personenbezogene Daten in die USA übertragen.

Überprüfen Sie ob das Unternehmen oder der Dienstleister auf der Liste des U.S. Department of Commerce gelistet und somit zertifiziert ist.

Überprüfen der Subdienstleister des Unternehmens: werden personenbezogene Daten in weiteren Drittländern verarbeitet? Gibt es für diese Angemessenheitsbeschlüsse oder sonstige Garantien?

Ist ein Dienstleister oder Unternehmen nicht zertifiziert, kann man zunächst den Stand der Zertifizierung des Unternehmens anfragen. Ist das Unternehmen nicht bereit eine Zertifizierung durchzuführen, müssen weitere Garantien nach Artikel 46 DSGVO geprüft und implementiert werden.

Die Zertifizierung nach dem EU US Data Privacy Frameworks und die entsprechenden Informationen zum Dienstleister müssen in den Datenschutzhinweisen (Artikel 13 & Artikel 14 DSGVO) aktualisiert werden – sowohl in der Datenschutzerklärung als auch im Cookie Banner.

Die Standarvertragsklauseln (SCC)  sind auch nach Inkrafttreten des EU-US Data Privacy Frameworks ein rechtssicheres Instrument zur Datenübermittlung. Mit Hinblick darauf, dass auch gegen das EU-US Data Privacy Frameworks mit hoher Wahrscheinlichkeit eine Klage eingereicht werden wird, sollten Sie bestehende SCCs mit Dienstleister behalten und die Entwicklung zur beständigen Gültigkeit des EU-US Data Privacy Frameworks beobachten.

Video zum EU-U.S. Data Privacy Framework

Im Video EU-U.S. Data Privacy Framework finden Sie:

Im Juli 2023 ist das EU-U.S. Data Privacy Framework (EU-U.S. DPF) zwischen der Europäischen Union und den Vereinigten Staaten in Kraft getreten. Das Datenschutzabkommen wurde im Jahr 2022 vereinbart und ersetzt das Privacy Shield, das im Jahr 2020 vom Europäischen Gerichtshof für ungültig erklärt wurde.

Wie das EU-U.S. Data Privacy Framework entstanden ist, welche Konsequenzen es für Unternehmen in der EU hat und warum Sie Ihre existierenden Standardvertragsklauseln vorerst nicht kündigen sollten, erfahren Sie im Video von Rechtsanwald Richard Bode.

Bei dem Video handelt es sich um die Aufzeichnung der Robin Data Hacks vom 29.08.2023. Die Robin Data Hacks finden online statt, die Teilnahme ist kostenfrei. Weitere Informationen, Termine und die Möglichkeit zur Anmeldung.

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

Fazit und Praxisempfehlung

Das EU-US DPF ist noch relativ neu und es ist noch nicht klar, wie es in der Praxis umgesetzt werden wird. Aktuell erleichtert das EU-US Data Privacy Framework den Datentransfer zwischen der EU und den USA.

Doch schon jetzt ist zu erwarten, dass auch gegen das EU-US Data Privacy Framework Klage eingereicht werden wird. Es ist also unklar wie lange der neue Angemessenheitsbeschluss bestehen bleibt. Denn inhaltlich gibt es überschaubare Änderungen im Vergleich zum Privacy Shield, sodass ein Urteil vom EuGH diesmal schneller erreicht werden könnte. Zu beachten ist auch, dass selbst zertifizierte US-Unternehmen mit Subdienstleistern in weiteren Drittländern zusammen arbeiten könnten. Unternehmen aus der EU müssen prüfen, ob für diese Subdienstleister Garantien nach Artikel 46 DSGVO vorliegen.

Die SCC sind auch nach Inkrafttreten des EU-US Data Privacy Frameworks ein rechtssicheres Instrument zur Datenübermittlung. Wir empfehlen Ihnen daher bestehende Standarvertragsklauseln (SCC) mit Dienstleistern voerst zu behalten und die Entwicklung zur beständigen Gültigkeit des EU-US Data Privacy Frameworks beobachten.

Caroline Schwabe
Neueste Anzeigen von Caroline Schwabe (Alle anzeigen)

Das könnte Sie auch interessieren:

Die neuen EU-Standard-Vertragsklauseln

Am 07. Juni 2021 hat die Europäische Kommission die neue Version der EU Standardvertragsklauseln für den internationalen Datentransfer von personenbezogener Daten veröffentlicht.

Datenübertragung in Länder außerhalb der Europäischen Union (Drittländer)

Werden personenbezogene Daten in Drittländer übertragen, muss die Rechtmäßigkeit dieser Übertragung geprüft und unter Umständen vertraglich geregelt werden.

So nutzen Sie das EU-US-Privacy-Shield

Das Privacy Shield regelt die datenschutzkonforme Übertragung personenbezogener Daten in die Vereinigte Staaten von Amerika (U.S.).