Viele Kanzleien. Ein starkes Netzwerk.
Aktuelles
Neues aus Markt und Netzwerk
 

Datentransfers an US-Unternehmen nach DSGVO Neuer Angemessenheitsbeschluss der EU für Datenübermittlung in die USA

Am 10. Juli 2023 hat die Europäische Kommission einen neuen Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten erlassen. Auf Grundlage dieses Beschlusses können personenbezogene Daten aus der EU an zertifizierte US-Unternehmen übermittelt werden, ohne dass weitere Maßnahmen erforderlich sind.

1. Hintergrund

Der Art. 45 der Datenschutzgrundverordnung (DSGVO) eröffnet der Europäischen Kommission die Möglichkeit, einem Drittland ein angemessenen Schutzniveau in Hinsicht auf den Schutz personenbezogener Daten zu attestieren. Voraussetzung ist, dass das Schutzniveau mit dem der EU vergleichbar ist. Auf Grundlage eines solchen Beschlusses, dürfen personenbezogene Daten an ein Drittland übermittelt werden, ohne dass weitere Schutzmaßnahme erforderlich sind.

Der vorherige Angemessenheitsbeschluss zum Datenschutzrahmen zwischen EU und USA hatte der Europäische Gerichtshof (EuGH) am 16. Juli 2020 für ungültig erklärt. Daraufhin folgten Gespräche zwischen der Europäischen Kommission und der US-Regierung zur Erstellung eines neuen Rahmens. Dies mündete in einer am 25. März 2022 veröffentlichten Erklärung, in der beide Parteien gemeinschaftlich erklärten, einen Vereinbarung (EU-US Data Privacy Framework) getroffen zu haben, die die Bedenken des EuGH ausräumen sollen.

Am 07. Oktober 2022 unterzeichnete US-Präsident Joe Biden eine Executive Order, durch die die Verpflichtungen aus dem EU-US Data Privacy Framework mit der EU in US-Recht umgesetzt wurden.

Am 10. Juli 2024 folgte nun der Beschluss der Europäischen Kommission, welcher attestiert, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an zertifizierte US-Unternehmen übermittelt werden.

2. Zertifizierung von US-Unternehmen

Von der erleichterten Übermittlung personenbezogener Daten dürfen ausschließlich US-Unternehmen profitieren, die nach dem EU-US Data Privacy Framework zertifiziert sind. Dafür müssen sich die Unternehmen zur Einhaltung von Datenschutzvorschriften verpflichten, die vom US-Handelsministerium herausgegeben werden. Dieses hat ferner eine Liste von zertifizierten Unternehmen veröffentlicht. Die US-amerikanische Federal Trade Commission soll die Einhaltung der Vorschriften überprüfen.

3. Was gilt für Unternehmen ohne Zertifizierung?

Datentransfers an US-Unternehmen ohne Zertifizierung nach dem EU-US Data Privacy Framework sind nicht vom Angemessenheitsbeschluss umfasst. Für solche Datenübermittlungen werden geeignete Garantien nach Art. 46 DS-GVO benötigt, sofern im Einzelfall kein Ausnahmetatbestand nach Art. 49 DSGVO vorliegt. Der EU-US Data Privacy Framework stellt jedoch Standardvertragsklauseln und verbindliche interne Datenschutzvorschriften bereit, die geeignete Garantien nach Art. 46 DSGVO darstellen.

4. Rechte der EU-Bürger

Die wesentlichen Bedenken des EuGH bestanden in den umfangreichen Zugriffsmöglichkeiten von US-Nachrichtendiensten auf die übertragenen personenbezogenen Daten. Dieser Zugang soll nun durch das EU-US Data Privacy Framework auf ein notwendiges und verhältnismäßiges Maß beschränkt werden.

Um einen rechtmäßigen Umgang der US-Nachrichtendienste mit den Daten von EU-Bürgern zu gewährleisten, ist ein unabhängiges und unparteiisches Rechtsbehelfsverfahren vorgesehen, auf das Einzelpersonen in der EU zurückgreifen können. Für dieses Verfahren soll ein neues Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) errichtet werden, das etwaige Beschwerden unabhängig untersuchen und beilegen soll, unter anderem durch die Anordnung verbindlicher Abhilfemaßnahmen (wie die Anordnung der Löschung der Daten).

5. Ausblick

Die Europäische Kommission und zuständigen US-Behörden haben sich darauf verständigt, die Funktionsweise des Datenschutzrahmens regelmäßig zu überprüfen. Die erste Überprüfung ist ein Jahr nach Inkrafttreten des Beschlusses vorgesehen. Anhand dessen wird sich zeigen, ob die Vereinbarungen vollständig ins US-Recht umgesetzt wurden und auch in der Praxis tatsächlich Anwendung finden.

Ferner ist zu erwarten, dass sich Betroffene an den EuGH wenden, um den Angemessenheitsbeschluss beruhend auf dem EU-US Data Privacy Framework gerichtlich zu überprüfen. Womöglich droht dann wie im Juli 2020, dass der Angemessenheitsbeschluss für unwirksam erklärt wird. Aber bis zu einer solchen Entscheidung können Datentransfers jedenfalls auf den aktuellen Angemessenheitsbeschluss gestützt werden.

Beitrag veröffentlicht am
3. September 2023

Marius Pflaum
DIRO AG

Stichworte in diesem Beitrag
Diesen Beitrag teilen

Alle Fachbeiträge zeigen

computer laptop unternehmer arbeit
Arbeitsrecht
26.08.2025

Nachträgliche Zulassung der Kündigungsschutzklage

Das BAG entschied am 3. April 2025, dass für die nachträgliche Zulassung einer Kündigungsschutzklage bei Schwangerschaft ein ärztlicher Nachweis erforderlich ist – ein positiver Selbsttest reicht nicht aus.

Beitrag lesen
Gesellschaftsrecht
26.08.2025

Reform des Personengesellschaftsrechts (MoPeG): Erste Erfahrungen und Risiken aus Sicht der Beratungspraxis nach Inkrafttreten zum 1. Januar 2024

Zum 1. Januar 2024 ist das Gesetz zur Modernisierung des Personengesellschaftsrechts (MoPeG) in Kraft getreten. Ziel dieser umfassenden Reform ist die zeitgemäße Ausgestaltung der Rechtsformen Gesellschaft bürgerlichen Rechts (GbR), offene Handelsgesellschaft (OHG), Kommanditgesellschaft (KG) und Partnergesellschaft (PartG). Erste Erfahrungen aus der Beratung zeigen: Insbesondere für mittelständische Unternehmen bestehen neue Handlungserfordernisse – aber auch Unsicherheiten und konkrete Risiken.

Beitrag lesen
Geschäftsführerhaftung in der Insolvenz, Insolvenzrecht
26.08.2025

Wann ist eine Zahlungsfähigkeit wiederhergestellt und liegt damit keine Geschäftsführerhaftung (mehr) vor?

Ein Geschäftsführer einer in die Insolvenz geratenen GmbH wird vom Insolvenzverwalter aus dem Gesichtspunkt der Insolvenzverschleppung auf Ersatz in Anspruch genommen. Die zugrundeliegende Argumentation lautet, dass die Zahlungsunfähigkeit bereits mehr als drei Wochen vor dem Datum des Insolvenzantrages entstanden sei. Der Geschäftsführer tritt dem mit dem Argument entgegen, dass zu dem betreffenden Zeitpunkt die Zahlungsfähigkeit wiederhergestellt gewesen sei.

Beitrag lesen
Alle Fachbeiträge

Einwilligung in Cookies und zur Erhebung und Weitergabe Ihrer Nutzerdaten an Dritte

Wir platzieren auf unserer Webseite technisch notwendige Cookies, die die grundlegenden Funktionen der Website gewährleisten und unentbehrlich sind. Für diese Cookies benötigen wir keine Einwilligung, so dass diese Cookies auch dann gesetzt werden, wenn Sie unten „alle ablehnen“ auswählen. Technisch notwendige Cookies verwenden wir, um unsere Dienste anbieten zu können und um vom Nutzer vorgenommene Einstellungen (wie z. B. die präferierte Sprache) zu speichern. Im Falle Ihrer Einwilligung verwenden wir darüber hinaus weitere performancesteigernde Cookies (Statistik und Nutzungsmessung sowie externe Dienste). Die Cookies verwenden wir ausschließlich dazu, unsere Website Ihren Wünschen entsprechend anpassen und weiterentwickeln zu können. Dabei werden Ihre personenbezogenen Daten (IP-Adresse, Nutzerverhalten etc.) verarbeitet und gespeichert, um die obigen Zwecke zu erreichen. Eine Identifizierung Ihrer Person ist durch die Pseudonymisierung der Daten nicht zu befürchten. Die Erläuterung zu den verschiedenen Cookies und datenschutzrechtlichen Vorgängen finden Sie unter „individuelle Einstellungen vornehmen“ oder in unseren Datenschutzhinweisen. Durch die Betätigung eines der untenstehenden Buttons willigen Sie in die Verwendung der jeweils ausgewählten Cookies und gleichzeitig in die Verarbeitung Ihrer personenbezogenen Daten zu oben beschriebenen Zwecken ein. Die Erteilung der Einwilligungen ist freiwillig.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum

Einstellungen
Technisch notwendige Cookies

Technisch notwendige Cookies (essentielle Cookies) ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Homepage unentbehrlich. Sie können ohne Einwilligung gesetzt werden und daher nicht abgewählt werden.

DIRO Multisite Cookie

Mit dem DIRO Multisite Cookie werden die von Ihnen selbst vorgenommenen Einstellungen auf dieser Website (z. B. die bevorzugte Sprache) sowie die von Ihnen zugelassenen Inhalte externer Anbieter gespeichert. Dabei werden unter dem Verarbeitungsvorgang DIRO_C_FINGERPRINT die IDs der beim letzten Seitenaufruf vorhandenen zustimmungspflichtigen Dienste, sowie deren Konfigurationseinstellungen und die Zuordnung zu Kategorien im Datenschutz Popup (als verschlüsselte Zeichenfolge) erhoben und gespeichert. Alleiniger Zweck dieser Datenverarbeitung ist die Speicherung der vorgenommenen Einstellungen. Die Speicherung erfolgt für ein Jahr.

Statistik und Nutzungsmessung

Wir möchten unser Angebot für Sie dauerhaft attraktiv gestalten. Dafür sind wir auf Informationen darüber angewiesen, wie unsere Seiten genutzt werden. Dafür erheben wir automatisiert Daten.

Nutzungsmessung mit Matomo

Wir verwenden zur Analyse des Nutzerverhaltens und der Reichweite unserer Website das Website-Analyse-Tool Matomo. Dadurch wird das Cookie „_pk_id“ gesetzt. Durch die Verwendung von Matomo werden 2 Bytes Ihrer IP-Adresse, die aufgerufene Website, die Referrer-Website (Website, von der Sie auf die hier aufgerufene Website gelangt sind), die von der aufgerufenen Website aus aufgerufenen Unterseiten, die Verweildauer und die Häufigkeit des Aufrufs der Website ermittelt und gespeichert. Dies dient allein dem Zweck, anonymisierte statistische Daten darüber zu erlangen, wie Sie die Website nutzen. Die Speicherdauer beträgt im Falle des Cookies pk_ref 6 Monate, im Falle des Cookies _pk_ses 30 Minuten.

Externe Dienste

An einigen Stellen unseres Angebote nutzen wir externe Dienste, um Ihnen bestimmte Inhalte oder Funktionen zuverlässig und komfortabel bereitstellen zu können (z.B. Karten, interaktive Formulare oder Kalender zur Terminvereinbarung).

Videowiedergabe mit Vimeo

Wir verwenden auf unserer Website den externen Dienst Vimeo. Dabei handelt es sich um ein Video-Portal des US-amerikanischen Unternehmens Vimeo.com, Inc., 330 West 34th Street, 5th Floor, New York, New York 10001, USA. Durch das Einbinden von Vimeo-Videos werden Cookies gesetzt, die bei Abrufen des Videos unter anderem Ihre IP-Adresse, den Browser-Typ, Ihr Betriebssystem, Ihr Klickverhalten und Ihre Verweildauer erheben und sodann speichern. Die Speicherung erfolgt auf Servern in den USA, die über keinerlei Datenschutzrecht verfügen. Näheres entnehmen Sie bitte den unter https://vimeo.com/privacy abrufbaren Informationen.

Geographische Karten von OpenStreetMaps

Durch die Einbindung von OpenStreetMaps auf unserer Website setzen wir das Cookie „_osm_location“. Dabei wird Ihre IP-Adresse an den fremden Server von OpenStreetMaps übermittelt, wodurch dieser erfährt, dass Sie unsere Seite besucht haben. Zweck dieser Einbindung ist die Darstellung von Adressen auf einer Karte, die in die Website eingebunden wird. Die Speicherdauer beträgt 1 Jahr.

Terminvereinbarung mit Calendly

Wir verwenden auf unserer Website den externen Dienst Calendly. In diesem Zuge werden Ihre E-Mail-Adresse, weitere Kontaktinformationen, Termininhalte und -daten, sowie alle von Ihnen in diesem Zusammenhang zusätzlich angegebenen Daten erhoben und gespeichert. Dies dient dem alleinigen Zweck, Termine und Gruppentermine online buchbar zu machen. Hierzu wird seitens Calendly eine Webanwendung zur Buchung von Terminvereinbarungen zur Verfügung gestellt. Die Daten werden auf Servern in der USA verarbeitet. Sie stellen Ihre Daten für die Laufzeit des Vertrages mit Calendly zur Verfügung. Näheres zu der Verarbeitung der Daten durch Calendly entnehmen Sie bitte den unter https://calendly.com/legal abrufbaren Informationen.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum