Tag Archive for: Data Privacy Framework

EU-Kommission: Datentransfer in die USA und Einsatz von US-Diensten wieder einfacher

Nachdem europ√§ische Unternehmen und Website-Betreiber lange darauf gewartet haben, ging es pl√∂tzlich doch ganz schnell: Am 10.07.2023 hat die EU-Kommission den lange angek√ľndigten Angemessenheitsbeschluss f√ľr das EU-US Data Privacy Framework erlassen. Damit ist der Nachfolger des Privacy Shields offiziell in Kraft und kann ab sofort als Grundlage f√ľr Datentransfers an zertifizierte US-Unternehmen herangezogen. Hierdurch wird der Einsatz zahlreicher Software-Produkte wie beispielsweise Cloud-Dienste, Newsletter-Services oder auch Analysetools wieder deutlich einfacher – zumindest vorl√§ufig.

Hintergrund: Seit der Europ√§ische Gerichtshof im am 16.07.2020 in seinem Schrems II – Urteil das “Privacy Shield” Abkommen f√ľr unwirksam erkl√§rt hatte, waren transatlantische Datentransfers immer mit einem erheblichen Risiko verbunden. Europ√§ische Unternehmen, welche Dienste von US-Services wie Google, Microsoft, Facebook & Co. einsetzen wollten, mussten sicherstellen, dass diese durch “besondere Ma√ünahmen” ein angemessenes Schutzniveau gew√§hrleisten. In der Praxis war dies kaum m√∂glich. In der Folge erging eine ganze Reihe von Entscheidungen, in denen Tools wie Google Analytics oder MailChimp durch Datenschutzbeh√∂rden faktisch untersagt wurden.

K√ľnftig k√∂nnen sich US-Unternehmen unter dem Data Privacy Framework zertifizieren lassen. Hierf√ľr m√ľssen sie bestimmte Datenschutzgrunds√§tze einhalten. Hierzu z√§hlt beispielsweise die Pflicht, personenbezogene Daten zu l√∂schen, wenn sie f√ľr den Zweck, f√ľr den sie erhoben wurden, nicht mehr erforderlich sind. Au√üerdem ist der Fortbestand des Schutzes zu gew√§hrleisten, wenn personenbezogene Daten an Dritte weitergegeben werden. Dar√ľber hinaus sieht der neue Rechtsrahmen Beschr√§nkungen f√ľr den Zugriff von US-Geheimdiensten auf Datenbest√§nde vor. Dieses Zugriffsrecht war einer der Hauptgr√ľnde, der zur Ung√ľltigkeit des Privacy Shields gef√ľhrt hatte. K√ľnftig sind solche Zugriffe auf das zum Schutz der nationalen Sicherheit notwendige und verh√§ltnism√§√üige Ma√ü zu beschr√§nken.

Durch den Angemessenheitsbeschluss wird die Verwendung US-amerikanische Softwareprodukte und Tools erheblich erleichtert. √úbergangsl√∂sungen – wie beispielsweise den Datentransfer auf eine informierte Einwilligung gem√§√ü Art. 49 Abs. 1 lit. a DSGVO zu st√ľtzen – werden vorl√§ufig obsolet. Verbraucher- und Datensch√ľtzer, allen voran der √Ėsterreicher Max Schrems, haben allerdings bereits angek√ľndigt, auch das Data Privacy Framework gerichtlich pr√ľfen zu lassen. Aus ihrer Sicht bestehen die Bedenken, die zur Ung√ľltigkeit des Pricacy Shields gef√ľhrt hatten, auch beim neuen Abkommen fort. Die Entwicklung bleibt abzuwarten. Unternehmen ist zu empfehlen, die in den letzten Jahren erarbeiteten Konzepte und zus√§tzlichen Schutzma√ünahmen nicht von heute auf morgen √ľber den Haufen zu werfen.

 

Bild: Midjourney