Neues Datenschutzabkommen zwischen der EU und den USA

Veröffentlicht am von August 23, 2023
© Bild von jcomp auf Freepik

Basierend auf einem Urteil des Europäischen Gerichtshofs im Juni 2020 wurde die damals bestehende Datenschutzregelung zwischen der EU und den USA als unzureichend erklärt. Wenig später, im Frühjahr 2021, sah sich die Weiterbildungsbranche durch die Corona-Pandemie großen Herausforderungen gegenüber. Schnelle Lösungen mussten her. So wurden Veranstaltungen und Termine in den digitalen Raum verlagert. Gleichzeitig waren oft Fragen des Datenschutzes nicht endgültig geklärt und bildeten eine zusätzliche Quelle der Unsicherheit in dieser Zeit. Bezüglich der Entwicklungen zum Thema des Datenschutzes bieten wir Ihnen daher mit diesem Beitrag einen Überblick über die aktuellen Neuerungen zu Ihrer weiteren Orientierung an.

Seit dem zehnten Juli 2023 können Daten aus der Europäischen Union (EU) wieder ungehindert und sicher in die Vereinigten Staaten von Amerika (USA) transferiert werden. Die EU-Kommission hat den neuen Datenschutzrahmen zwischen der EU und den USA (EU-U.S. Data Privacy Framework) mit einem Angemessenheitsbeschluss angenommen. Darin wird festgestellt, dass die USA verglichen mit der EU ein ausreichendes Schutzniveau für personenbezogene Daten wahren können. Basierend auf dieser Entscheidung können Daten aus dem europäischen Wirtschaftsraum (EWR) rechtssicher und ohne weitere Genehmigungen an Unternehmen in Drittländern übermittelt werden. Das EU-U.S. Data Privacy Framework (DPF) wurde von der Europäischen Kommission, dem U.S. Handelsministerium (engl.: U.S. Department of Commerce), der britischen Regierung und der Schweizer Regierung entwickelt, um den Datenschutz der jeweiligen Länder sicherzustellen. Einzige Voraussetzung für die US-amerikanischen Unternehmen ist die Teilnahme am EU-U.S. Data Privacy Framework.

Vorteile des EU-U.S. Data Privacy Framework auf einen Blick

Das EU-US Data Privacy Framework soll fünf Vorteile mit sich bringen:

  1. Es soll die Daten von europäischen Unternehmen und Privatpersonen, die in die USA übertragen werden, schützen. Besonders wichtig sind die Anforderungen an den Datenschutz, die durch den Europäischen Gerichtshof geprüft werden können.
  2. Es soll sichere und geschützte Datenübertragungen ermöglichen.
  3. Das DPF bietet eine belastungsfähige rechtliche Grundlage zur Handhabung von Daten, die aus der EU in die USA übertragen werden.
  4. Auf dieser Basis soll die digitale Ökonomie und die wirtschaftliche Zusammenarbeit von Unternehmen fördern.
  5. Der kontinuierliche Datenaustausch zwischen der EU und den USA ermöglicht bereits jetzt einen Markt mit über 900 Milliarden Euro Umsatz im Jahr. Dieser soll weiter ausgebaut werden.

Zeitliche Entwicklung des EU-U.S. Data Privacy Framework

Das EU-U.S. Data Privacy Framework ist das dritte Datenschutzabkommen zwischen der EU und den USA. Im Jahr 2000 wurde mit dem Safe-Harbor-Abkommen erstmals Richtlinien und Maßnahmen zum Schutz personenbezogener Daten zwischen der EU und den USA angenommen. Im Mai 2016 ist die Datenschutz-Grundverordnung (DS-GVO) in der Europäischen Union in Kraft getreten. Da das Safe-Harbor-Abkommendiesen neuen Anforderungen nicht mehr gerecht war, wurde es 2016 nach einem Urteil des Europäischen Gerichtshofs (EuGH) durch das Privacy-Shield-1.0-Abkommen ersetzt. Nach einem weiteren Urteil des EuGH, das den Zugang der US-amerikanischen Behörden einschränken sollte, wurde das EU-U.S. Data Privacy Framework mit einem Angemessenheitsentscheid durch die Europäische Kommission zum 10. Juli 2023 offiziell angenommen. Eine ausführliche Timeline der Entwicklung der Datenschutzabkommen zwischen der EU und den USA wird Beispielsweise auf »eRecht24« bereitgestellt. Auch die Ausweitung des Geltungsrahmens des EU-U.S. Data Privacy Framework ist wichtig: Zum einen wird der kommerzielle Sektor durch das DPF reguliert. Zum anderen wird der Zugriff der U.S. Behörden auf personenbezogene Daten deutlich strenger reguliert. Somit sind durch das EU-U.S. Data Privacy Frameworkweitere Sicherheitsmechanismen für den Schutz personenbezogener Daten angenommen worden.

Unterschiede im Datenschutz zwischen der EU und den USA

Der Schutz personenbezogener Daten ist in Deutschland und der Europäischen Union als Teil der Grundrechte verankert. In anderen Ländern ist dies nicht so. In den USA werden Daten als Element des Wirtschaftslebens gehandhabt und durch das dortige Verbraucherschutzrecht geregelt. Die Ansätze der EU und der USA zum Datenschutz unterscheiden sich also grundlegend voneinander (siehe Tabelle 1).

Tabelle 1: Unterschiede im Datenschutz zwischen der EU und den USA

KriteriumDeutschland und EUUSA
RegelungDatenschutz ist allgemein geregelt. Auf Bundesebene durch das Bundesdatenschutzgesetz und auf europäischer Ebene durch die Datenschutzgrundverordnung (DSGVO).Datenschutz ist nicht allgemein geregelt, sondern branchenspezifisch. Beispielsweise gibt es für die unterschiedliche Gesetze für das Gesundheitswesen und den Finanzsektor.
VerpflichtungUnternehmen der Privatwirtschaft, der öffentliche Dienst und Vereine sind durch den Gesetzgeber an die obengenannten Regelungen gebunden.Unternehmen konnten das Schutzniveau bisher selbst bestimmen – dies ist jetzt durch das EU-U.S. DPF vorgegeben.
SchutzniveauDas Schutzniveau ist durch die obengenannten Gesetze geregelt.
Aufsicht und KontrolleUnternehmen durchlaufen einen Selbstzertifizierungsprozess des US-Wirtschaftsministeriums. Anschließend dürfen Daten aus der EU empfange und verarbeitet werden.International Trade Administration (ITA) und U.S. Department of Commerce (dt: Handelsministerium)
Quelle: https://www.datenschutz.org/usa/

Gerade aufgrund dieser bestehenden Unterschiede ist ein gemeinsames Abkommen zwischen der EU und den USA wichtig, sodass der Datentransfer von der EU in die USA rechtssicher ermöglicht wird und dabei ein entsprechendes Datenschutzniveau eingehalten wird. Zur Qualitätssicherung wird das EU-U.S. DPF bereits ein Jahr nach dem in Kraft treten, Ende 2024, evaluiert.

Beispiel: Verwendung der Videokonferenzsoftware Zoom

Auf der Basis des EU-U.S. Data Privacy Framework ist die Verwendung der Videokonferenzsoftware rechtlich wieder möglich (vorher war dies auch möglich, jedoch auf anderer rechtlicher Grundlage). Wichtig ist hier, dass Zoom Inc. als US-amerikanisches Unternehmen den Selbstzertifizierungsprozess bereits erfolgreich durchlaufen hat. Damit dürfen personenbezogene Daten aus der EU an das Unternehmen in den USA übertragen werden. Ob ein Unternehmen in den USA eine aktive und gültige DPF-Zertifizierung hat, können Sie auf der Website des U.S. Handelsministeriums dataprivacyframework.gov herausfinden.

Dort finden Sie auch eine Liste mit den 2488 bisher zertifizierten Unternehmen (Stand: 01. August 2023), die Sie einsehen können.

Das Inkrafttreten des EU-U.S. Data Privacy Frameworks ermöglicht einen reibungslosen und sicheren Datentransfer zwischen der Europäischen Union und den Vereinigten Staaten, was sich positiv auf die digitale Ökonomie und die wirtschaftliche Zusammenarbeit von Unternehmen auswirken wird. Gleichzeitig wird ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, wodurch das Vertrauen in den grenzüberschreitenden Datenverkehr gestärkt wird. Mit dem EU-U.S. Data Privacy Framework wird nicht nur der Schutz der Privatsphäre der Bürgerinnen und Bürger verbessert, sondern es schafft auch eine solide Grundlage für die Zukunft der Weiterbildungsbranche in Deutschland und Europa. So wird Datenschutz zunehmend zu einem zentralen Element für den Erfolg und das Vertrauen in die digitale Welt der Weiterbildung. 

Weiterführende Informationen

Die Website des U.S. Handelsministeriums zum Data Privacy Framework Program
https://www.dataprivacyframework.gov/s/

Überblicksseite zum Datentransfer zwischen EU und USA
https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/eu-us-data-transfers_de

Das Data Privacy Framework zum Download
https://ec.europa.eu/commission/presscorner/detail/de/ip_22_7631

Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA
https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf

Fragen und Antworten der Europäischen Kommission zum Datenschutzrahmen EU-USA
https://ec.europa.eu/commission/presscorner/detail/de/qanda_23_3752

Beispielhafte Timeline zur Entwicklung der unterschiedlichen Dateschutzabkommen
https://www.e-recht24.de/datenschutz/13085-eu-us-data-privacy-framework.html

Hinweis

Dieser Beitrag stellte keine Rechtsberatung dar und hat daher keinerlei rechtliche Gültigkeit. Bitte wenden Sie sich bei rechtlichen Fragen zum Datenschutz an Ihren Rechtsbeistand.

Die Kommentarfunktion ist geschlossen.