Am 10.07.2023 hat die EU-Kommission im Rahmen des „EU-US Data Privacy Framework“ den Angemessenheitsbeschluss für die USA angenommen. Dadurch werden zukünftig unter bestimmten Bedingungen wieder rechtmäßige Übermittlungen personenbezogener Daten in die USA ermöglicht. Diese Entwicklung hat signifikante Auswirkungen auf die datenschutzrechtliche Beurteilung von Dienstleistern und Auftragsverarbeitern mit Sitz in den USA. Durch eine Zertifizierung gemäß dem EU-US Data Privacy Framework können diese Dienstleister nun rechtmäßig eingesetzt werden.
Diese Neuigkeiten haben große Bedeutung in der Datenschutz-Welt. In den vergangenen Jahren mussten wir Kunden immer wieder auf Bedenken hinsichtlich der Nutzung von Dienstleistern aus den USA hinweisen. Nun scheint endlich eine praktikable Lösung gefunden worden zu sein. Es bleibt jedoch abzuwarten, wie sich dies in der Praxis entwickelt. Es ist noch unklar, welche Dienstleister sich überhaupt zertifizieren lassen und ob es Versuche geben wird, den Angemessenheitsbeschluss, auch bekannt als „Schrems III“, zu kippen. Ebenso ist noch keine klare Vorgehensweise für bereits abgeschlossene Standardvertragsklauseln (SCC) definiert.
Wichtige Informationen:
- Dienstleister aus den USA können nun datenschutzrechtlich zulässig eingesetzt werden, sofern sie sich gemäß dem EU-US Data Privacy Framework zertifizieren lassen. Die Zertifizierung der „großen“ Unternehmen wird voraussichtlich einige Wochen in Anspruch nehmen.
- Eine solche Zertifizierung gilt jeweils nur für ein Jahr, daher muss die Liste der zertifizierten Unternehmen regelmäßig überprüft werden. Falls ein Dienstleister keine Zertifizierung erhält oder nach einem Jahr nicht rezertifiziert wird, besteht ein datenschutzrechtliches Risiko bei der Nutzung dieses Dienstleisters.
- Vor dem Einsatz eines Dienstleisters, unabhängig vom Standort, müssen die datenschutzrechtlichen Aspekte geklärt werden. Es müssen weiterhin Auftragsverarbeitungsverträge abgeschlossen werden, die den Anforderungen von Artikel 28 der DSGVO entsprechen. Die Rechtmäßigkeit der Verarbeitung, die ein Dienstleister übernimmt, muss gemäß Artikel 6 der DSGVO vom verantwortlichen Unternehmen, also Ihrem Unternehmen, beurteilt werden und gegeben sein (ggf. Einholung von Einwilligungen).
Mehr Informationen gibt es im FAQ der EU-Kommission:
https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752
Bei Fragen können Sie uns gerne unter 030 330 96 26 – 27 anrufen oder eine Mail an datenschutz@lorop.de schreiben.