Startseite » Management » Recht »

Sicherer Datentransfer in die USA

Grundlage für neues Datenschutzabkommen
So soll der Datentransfer in die USA wieder rechtssicher werden

So soll der Datentransfer in die USA wieder rechtssicher werden
Transatlantischer Datenfluss: Ein neues EU-US-Datenschutzabkommen soll Rechtssicherheit geben und US-Geheimdienste einschränken. Bild: Weissblick/stock.adobe.com
Das neue „Privacy Shield 2.0“ kommt: Die USA schaffen die Grundlage für ein neues EU-US-Datenschutzabkommen.

» Dr. Jörg Kahler, Anwalt bei GSK Stockmann Rechtsanwälte Steuerberater Partnerschaftsgesellschaft mbB

Die digitale Transformation der europäischen Industrie wird nur gelingen, wenn Daten grenzüberschreitend und weltweit frei und sicher fließen können. Die Rechtssicherheit bei internationalen Datentransfers ist daher von besonderer Bedeutung. Am 7.10.2022 hat US-Präsident Biden ein Dekret („Executive Order“) unterzeichnet, das den neuen EU-US-Datenschutzrahmen Privacy Shield 2.0 im US-Recht verankert. Damit soll bei einem Datentransfer in die USA der Datenschutz im Sinne der Datenschutzgrundverordnung (DSGVO) gewährleistet werden. Das Dekret schränkt den Zugriff der amerikanischen Geheimdienste auf die in die USA übertragenen Daten ein und stärkt die Rechte der europäischen Bürger, sich gerichtlich gegen Überwachung zu wehren.

Für die europäische Industrie ist dieser Schritt enorm wichtig, da das ursprüngliche Privacy Shield vom Europäischen Gerichtshof (EuGH) im Jahr 2020 gekippt wurde. Die derzeitigen rechtlichen Rahmenbedingungen sind seither für den transatlantischen Datenverkehr mit erheblichen Rechtsunsicherheiten verbunden. Bereits im März 2022 hatten sich deshalb die USA und die EU auf einen neuen Datenschutzrahmen („Trans-Atlantic Data Privacy Framework“, kurz „TADAP-Framework“) verständigt, der die Bedenken des EuGHs ausräumen soll. Auf dieser Grundlage hat US-Präsident Biden nunmehr die Executive Order Enhancing Safeguards for United States Signals Intelligence Activities zwecks Verankerung des TADAP-Frameworks im US-Recht erlassen.

Strengere Regeln für US-Geheimdienste

US-Geheimdienste dürfen personenbezogene Daten zukünftig nur noch bei der Verfolgung bestimmter nationaler Sicherheitsziele verarbeiten und müssen darauf achten, auch dann die Privatsphäre und Freiheitsrechte aller Betroffenen zu wahren. Die Verarbeitung ist nur zulässig, wenn sie verhältnismäßig ist, also einen legitimen Zweck verfolgt, sowie geeignet, erforderlich und angemessen ist. Die US-Geheimdienste sind verpflichtet, ihre internen Verfahren und Richtlinien zu überprüfen und zu aktualisieren, um diese Anforderungen umzusetzen. Verfahrensrechtlich wird die Einhaltung dieser Vorschriften durch eine Ausweitung von staatlicher Rechtsaufsicht und Compliance-Prüfungen sichergestellt.

Mehr Rechte für Betroffene

Für Betroffene, die der Ansicht sind, die Verarbeitung ihrer personenbezogenen Daten verstoße gegen geltendes US-Recht, ist künftig eine unabhängige Überprüfung der Datenverarbeitung auf Rechtmäßigkeit in einem zweistufigen Verfahren möglich. Auf der ersten Stufe kann eine qualifizierte Beschwerde an den Civil Liberties Protection Officer im Office of the Director of National Intelligence (CLPO) gerichtet werden, der eine Prüfung durchführt, eine verbindliche Entscheidung trifft und bei Bedarf Abhilfemaßnahmen einleitet. Diese Entscheidung kann in einer zweiten Stufe vor einem unabhängigen gerichtsähnlichen Data Protection Review Court auf Antrag überprüft werden.

Wann tritt das neue „Privacy Shield 2.0“ in Kraft?

Auf der Grundlage der Executive Order wird die EU-Kommission nunmehr das Verfahren für die Verabschiedung eines sogenannten Angemessenheitsbeschlusses nach der DSGVO einleiten. Dafür muss sie zunächst eine Stellungnahme des Europäischen Datenschutzausschusses (EDPB) einholen und das Europäische Parlament einbinden, das bei solchen Angemessenheitsentscheidungen ein Kontrollrecht hat. Danach kann die EU-Kommission die endgültige Angemessenheitsentscheidung treffen. Es ist davon auszugehen, dass die EU-Kommission in der ersten Jahreshälfte 2023 feststellen wird, dass die USA nunmehr ein angemessenes Schutzniveau im Sinne des Art. 45 Abs. 2 DSGVO gewährleistet, zumal Mitarbeiter der EU-Kommission am Entwurf der US-Executive Order mitgewirkt haben.

Ab dem Zeitpunkt dieser Feststellung wird das neue Privacy Shield 2.0 seine Wirksamkeit entfalten. Es ermöglicht dann den transatlantischen Datentransfer mit US-Unternehmen, die sich in diesem Rahmen zertifiziert haben. Hierzu müssen sich die US-Unternehmen in eine Liste des US-Handelsministeriums eintragen. Dies stellt eine Selbstzertifizierung des Unternehmens dar. Es verpflichtet sich damit, die Prinzipien des Privacy Shields einzuhalten.

EU-Kommission blickt optimistisch auf neuen Datentransfer

Ein neuer Datenschutzrahmen zwischen der EU und den USA ist dringend geboten. Insoweit ist das Privacy Shield 2.0 mit seiner Intention, mehr Rechtsklarheit und Rechtssicherheit zu schaffen und den transatlantischen Datentransfer für Unternehmen zu erleichtern, zu begrüßen. Die Kritiker, die mit ihrer Klage das ursprüngliche Privacy Shield-Abkommen zu Fall gebracht haben, sind bereits wieder in die Öffentlichkeit getreten und haben Zweifel angemeldet, dass auch Privacy Shield 2.0 mit EU-Recht vereinbar ist. Es bleibt jedoch abzuwarten, ob es tatsächlich erneut zu einem Klageverfahren vor dem EuGH kommt. Die EU-Kommission zeigt sich jedenfalls optimistisch, dass das Privacy Shield 2.0 einer Prüfung durch den EuGH Stand halten wird.

Unsere Webinar-Empfehlung
Industrieanzeiger
Titelbild Industrieanzeiger 4
Ausgabe
4.2024
LESEN
ABO
Newsletter

Jetzt unseren Newsletter abonnieren

Tipps der Redaktion

Unsere Technik-Empfehlungen für Sie

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Unsere Partner

Starke Zeitschrift – starke Partner


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de