Viele Kanzleien. Ein starkes Netzwerk.
Aktuelles
Neues aus Markt und Netzwerk
 

Datentransfers an US-Unternehmen nach DSGVO Neuer Angemessenheitsbeschluss der EU für Datenübermittlung in die USA

Am 10. Juli 2023 hat die Europäische Kommission einen neuen Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten erlassen. Auf Grundlage dieses Beschlusses können personenbezogene Daten aus der EU an zertifizierte US-Unternehmen übermittelt werden, ohne dass weitere Maßnahmen erforderlich sind.

1. Hintergrund

Der Art. 45 der Datenschutzgrundverordnung (DSGVO) eröffnet der Europäischen Kommission die Möglichkeit, einem Drittland ein angemessenen Schutzniveau in Hinsicht auf den Schutz personenbezogener Daten zu attestieren. Voraussetzung ist, dass das Schutzniveau mit dem der EU vergleichbar ist. Auf Grundlage eines solchen Beschlusses, dürfen personenbezogene Daten an ein Drittland übermittelt werden, ohne dass weitere Schutzmaßnahme erforderlich sind.

Der vorherige Angemessenheitsbeschluss zum Datenschutzrahmen zwischen EU und USA hatte der Europäische Gerichtshof (EuGH) am 16. Juli 2020 für ungültig erklärt. Daraufhin folgten Gespräche zwischen der Europäischen Kommission und der US-Regierung zur Erstellung eines neuen Rahmens. Dies mündete in einer am 25. März 2022 veröffentlichten Erklärung, in der beide Parteien gemeinschaftlich erklärten, einen Vereinbarung (EU-US Data Privacy Framework) getroffen zu haben, die die Bedenken des EuGH ausräumen sollen.

Am 07. Oktober 2022 unterzeichnete US-Präsident Joe Biden eine Executive Order, durch die die Verpflichtungen aus dem EU-US Data Privacy Framework mit der EU in US-Recht umgesetzt wurden.

Am 10. Juli 2024 folgte nun der Beschluss der Europäischen Kommission, welcher attestiert, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an zertifizierte US-Unternehmen übermittelt werden.

2. Zertifizierung von US-Unternehmen

Von der erleichterten Übermittlung personenbezogener Daten dürfen ausschließlich US-Unternehmen profitieren, die nach dem EU-US Data Privacy Framework zertifiziert sind. Dafür müssen sich die Unternehmen zur Einhaltung von Datenschutzvorschriften verpflichten, die vom US-Handelsministerium herausgegeben werden. Dieses hat ferner eine Liste von zertifizierten Unternehmen veröffentlicht. Die US-amerikanische Federal Trade Commission soll die Einhaltung der Vorschriften überprüfen.

3. Was gilt für Unternehmen ohne Zertifizierung?

Datentransfers an US-Unternehmen ohne Zertifizierung nach dem EU-US Data Privacy Framework sind nicht vom Angemessenheitsbeschluss umfasst. Für solche Datenübermittlungen werden geeignete Garantien nach Art. 46 DS-GVO benötigt, sofern im Einzelfall kein Ausnahmetatbestand nach Art. 49 DSGVO vorliegt. Der EU-US Data Privacy Framework stellt jedoch Standardvertragsklauseln und verbindliche interne Datenschutzvorschriften bereit, die geeignete Garantien nach Art. 46 DSGVO darstellen.

4. Rechte der EU-Bürger

Die wesentlichen Bedenken des EuGH bestanden in den umfangreichen Zugriffsmöglichkeiten von US-Nachrichtendiensten auf die übertragenen personenbezogenen Daten. Dieser Zugang soll nun durch das EU-US Data Privacy Framework auf ein notwendiges und verhältnismäßiges Maß beschränkt werden.

Um einen rechtmäßigen Umgang der US-Nachrichtendienste mit den Daten von EU-Bürgern zu gewährleisten, ist ein unabhängiges und unparteiisches Rechtsbehelfsverfahren vorgesehen, auf das Einzelpersonen in der EU zurückgreifen können. Für dieses Verfahren soll ein neues Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) errichtet werden, das etwaige Beschwerden unabhängig untersuchen und beilegen soll, unter anderem durch die Anordnung verbindlicher Abhilfemaßnahmen (wie die Anordnung der Löschung der Daten).

5. Ausblick

Die Europäische Kommission und zuständigen US-Behörden haben sich darauf verständigt, die Funktionsweise des Datenschutzrahmens regelmäßig zu überprüfen. Die erste Überprüfung ist ein Jahr nach Inkrafttreten des Beschlusses vorgesehen. Anhand dessen wird sich zeigen, ob die Vereinbarungen vollständig ins US-Recht umgesetzt wurden und auch in der Praxis tatsächlich Anwendung finden.

Ferner ist zu erwarten, dass sich Betroffene an den EuGH wenden, um den Angemessenheitsbeschluss beruhend auf dem EU-US Data Privacy Framework gerichtlich zu überprüfen. Womöglich droht dann wie im Juli 2020, dass der Angemessenheitsbeschluss für unwirksam erklärt wird. Aber bis zu einer solchen Entscheidung können Datentransfers jedenfalls auf den aktuellen Angemessenheitsbeschluss gestützt werden.

Alle Fachbeiträge zeigen

computer laptop unternehmer arbeit
Arbeitsrecht
26.08.2025

Nachträgliche Zulassung der Kündigungsschutzklage

Das BAG entschied am 3. April 2025, dass für die nachträgliche Zulassung einer Kündigungsschutzklage bei Schwangerschaft ein ärztlicher Nachweis erforderlich ist – ein positiver Selbsttest reicht nicht aus.

Beitrag lesen
Gesellschaftsrecht
26.08.2025

Reform des Personengesellschaftsrechts (MoPeG): Erste Erfahrungen und Risiken aus Sicht der Beratungspraxis nach Inkrafttreten zum 1. Januar 2024

Zum 1. Januar 2024 ist das Gesetz zur Modernisierung des Personengesellschaftsrechts (MoPeG) in Kraft getreten. Ziel dieser umfassenden Reform ist die zeitgemäße Ausgestaltung der Rechtsformen Gesellschaft bürgerlichen Rechts (GbR), offene Handelsgesellschaft (OHG), Kommanditgesellschaft (KG) und Partnergesellschaft (PartG). Erste Erfahrungen aus der Beratung zeigen: Insbesondere für mittelständische Unternehmen bestehen neue Handlungserfordernisse – aber auch Unsicherheiten und konkrete Risiken.

Beitrag lesen
Geschäftsführerhaftung in der Insolvenz, Insolvenzrecht
26.08.2025

Wann ist eine Zahlungsfähigkeit wiederhergestellt und liegt damit keine Geschäftsführerhaftung (mehr) vor?

Ein Geschäftsführer einer in die Insolvenz geratenen GmbH wird vom Insolvenzverwalter aus dem Gesichtspunkt der Insolvenzverschleppung auf Ersatz in Anspruch genommen. Die zugrundeliegende Argumentation lautet, dass die Zahlungsunfähigkeit bereits mehr als drei Wochen vor dem Datum des Insolvenzantrages entstanden sei. Der Geschäftsführer tritt dem mit dem Argument entgegen, dass zu dem betreffenden Zeitpunkt die Zahlungsfähigkeit wiederhergestellt gewesen sei.

Beitrag lesen