Unternehmen haben nun wieder Rechtssicherheit, nachdem der Europäische Gerichtshof (EuGH) mit dem Schrems II-Urteil vom 16.07.2020 den vormaligen Angemessenheitsbeschluss („EU-US-Privacy-Shield“) mit sofortiger Wirkung für unwirksam erklärt hatte.
Mit dem EU-US Data Privacy Framework wurden neue verbindliche Garantien eingeführt. Sie regeln die Beschränkung des Zugangs von US-Nachrichtendiensten auf personenbezogene Daten von EU-Bürgern auf ein verhältnismäßiges Maß. Betroffene sollen so ihre Rechte vor einem Gericht zur Datenschutzüberprüfung („Data Protection Review Court - DPRC“) geltend machen können. Es bleibt abzuwarten, ob die neuen Garantien einer erneuten gerichtlichen Überprüfung durch den EuGH standhalten werden.
In der Praxis bedeutet der neue Angemessenheitsbeschluss zunächst, dass EU-Unternehmen personenbezogene Daten künftig auf Grundlage des EU-US-Data Privacy Frameworks an US-Unternehmen transferieren können, etwa beim Einsatz von US Service Providern (z. B. Zahlungsdienste oder Cloud-Dienste). Voraussetzung ist jedoch, dass sich US-Unternehmen zunächst zur Einhaltung des Pflichtenkatalogs entsprechend des neuen Angemessenheitsbeschlusses verpflichten. Sie müssen sich dazu beim U.S. Department of Commerce zertifizieren lassen.
Europäische Unternehmen sollten jetzt zur Umsetzung des Angemessenheitsbeschlusses ihre Geschäftsmodelle, bisherigen Datenschutzerklärungen und Auftragsverarbeitungsverträge überprüfen. Das gilt, wenn eine Zusammenarbeit mit US Service Providern zugrunde liegt bzw. ein Transfer von Daten in die USA stattfindet. Wir empfehlen eine neue Bewertung und erforderlichenfalls Anpassung.
Sie tauschen als Unternehmen Daten mit den USA aus und brauchen Hilfe bei der Umsetzung des neuen EU-US-Data Privacy Frameworks? Unsere IT- und Datenschutzrechtsexperten Klaus Brisch, LL.M. (USA), Marco Müller-ter Jung, LL.M. (IT-Recht) und Demir Kanurić unterstützen Sie gerne bei der Umsetzung des neuen EU-US-Data Privacy Frameworks. Setzen Sie sich unverbindlich mit uns in Kontakt.
