Viele Kanzleien. Ein starkes Netzwerk.
Aktuelles
Neues aus Markt und Netzwerk
 

Datentransfers an US-Unternehmen nach DSGVO Neuer Angemessenheitsbeschluss der EU für Datenübermittlung in die USA

Am 10. Juli 2023 hat die Europäische Kommission einen neuen Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten erlassen. Auf Grundlage dieses Beschlusses können personenbezogene Daten aus der EU an zertifizierte US-Unternehmen übermittelt werden, ohne dass weitere Maßnahmen erforderlich sind.

1. Hintergrund

Der Art. 45 der Datenschutzgrundverordnung (DSGVO) eröffnet der Europäischen Kommission die Möglichkeit, einem Drittland ein angemessenen Schutzniveau in Hinsicht auf den Schutz personenbezogener Daten zu attestieren. Voraussetzung ist, dass das Schutzniveau mit dem der EU vergleichbar ist. Auf Grundlage eines solchen Beschlusses, dürfen personenbezogene Daten an ein Drittland übermittelt werden, ohne dass weitere Schutzmaßnahme erforderlich sind.

Der vorherige Angemessenheitsbeschluss zum Datenschutzrahmen zwischen EU und USA hatte der Europäische Gerichtshof (EuGH) am 16. Juli 2020 für ungültig erklärt. Daraufhin folgten Gespräche zwischen der Europäischen Kommission und der US-Regierung zur Erstellung eines neuen Rahmens. Dies mündete in einer am 25. März 2022 veröffentlichten Erklärung, in der beide Parteien gemeinschaftlich erklärten, einen Vereinbarung (EU-US Data Privacy Framework) getroffen zu haben, die die Bedenken des EuGH ausräumen sollen.

Am 07. Oktober 2022 unterzeichnete US-Präsident Joe Biden eine Executive Order, durch die die Verpflichtungen aus dem EU-US Data Privacy Framework mit der EU in US-Recht umgesetzt wurden.

Am 10. Juli 2024 folgte nun der Beschluss der Europäischen Kommission, welcher attestiert, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU an zertifizierte US-Unternehmen übermittelt werden.

2. Zertifizierung von US-Unternehmen

Von der erleichterten Übermittlung personenbezogener Daten dürfen ausschließlich US-Unternehmen profitieren, die nach dem EU-US Data Privacy Framework zertifiziert sind. Dafür müssen sich die Unternehmen zur Einhaltung von Datenschutzvorschriften verpflichten, die vom US-Handelsministerium herausgegeben werden. Dieses hat ferner eine Liste von zertifizierten Unternehmen veröffentlicht. Die US-amerikanische Federal Trade Commission soll die Einhaltung der Vorschriften überprüfen.

3. Was gilt für Unternehmen ohne Zertifizierung?

Datentransfers an US-Unternehmen ohne Zertifizierung nach dem EU-US Data Privacy Framework sind nicht vom Angemessenheitsbeschluss umfasst. Für solche Datenübermittlungen werden geeignete Garantien nach Art. 46 DS-GVO benötigt, sofern im Einzelfall kein Ausnahmetatbestand nach Art. 49 DSGVO vorliegt. Der EU-US Data Privacy Framework stellt jedoch Standardvertragsklauseln und verbindliche interne Datenschutzvorschriften bereit, die geeignete Garantien nach Art. 46 DSGVO darstellen.

4. Rechte der EU-Bürger

Die wesentlichen Bedenken des EuGH bestanden in den umfangreichen Zugriffsmöglichkeiten von US-Nachrichtendiensten auf die übertragenen personenbezogenen Daten. Dieser Zugang soll nun durch das EU-US Data Privacy Framework auf ein notwendiges und verhältnismäßiges Maß beschränkt werden.

Um einen rechtmäßigen Umgang der US-Nachrichtendienste mit den Daten von EU-Bürgern zu gewährleisten, ist ein unabhängiges und unparteiisches Rechtsbehelfsverfahren vorgesehen, auf das Einzelpersonen in der EU zurückgreifen können. Für dieses Verfahren soll ein neues Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) errichtet werden, das etwaige Beschwerden unabhängig untersuchen und beilegen soll, unter anderem durch die Anordnung verbindlicher Abhilfemaßnahmen (wie die Anordnung der Löschung der Daten).

5. Ausblick

Die Europäische Kommission und zuständigen US-Behörden haben sich darauf verständigt, die Funktionsweise des Datenschutzrahmens regelmäßig zu überprüfen. Die erste Überprüfung ist ein Jahr nach Inkrafttreten des Beschlusses vorgesehen. Anhand dessen wird sich zeigen, ob die Vereinbarungen vollständig ins US-Recht umgesetzt wurden und auch in der Praxis tatsächlich Anwendung finden.

Ferner ist zu erwarten, dass sich Betroffene an den EuGH wenden, um den Angemessenheitsbeschluss beruhend auf dem EU-US Data Privacy Framework gerichtlich zu überprüfen. Womöglich droht dann wie im Juli 2020, dass der Angemessenheitsbeschluss für unwirksam erklärt wird. Aber bis zu einer solchen Entscheidung können Datentransfers jedenfalls auf den aktuellen Angemessenheitsbeschluss gestützt werden.

Alle Fachbeiträge zeigen

Steuerrecht, Handelsrecht
16.09.2025

Export: Bundesfinanzministerium konkretisiert Anforderungen an steuerfreie Ausfuhrlieferungen

In einem aktuellen Schreiben hat das Bundesfinanzministerium einige Entscheidungen des Europäischen Gerichtshofs umgesetzt und wichtige Klarstellungen für die Steuerbefreiung von Ausfuhrlieferungen bekannt gegeben, die besonders für Exporteure wichtig sind.

Beitrag lesen
Markenrecht
16.09.2025

Farbmarken im Getränkemarkt: Was der aktuelle “Spezi-Streit” Unternehmen lehrt

Der jüngste Rechtsstreit zwischen der Münchner Brauerei Paulaner und Berentzen um die Gestaltung von Cola-Mix-Flaschen beschäftigt nicht nur Juristen, sondern auch viele Unternehmen im Getränke- und Konsumgütermarkt. Die zentralen Themen: der Schutz von Farbmarken und das Risiko, dass Produktgestaltungen unzulässig an ein geschütztes Erscheinungsbild anknüpfen.

Beitrag lesen
KI-AI-Urheber-IT-Internet
Informationstechnologie, Informationstechnologierecht, IT-Recht, Internetrecht, Europarecht
13.09.2025

EU AI Act 2025: Ihr Fahrplan für rechtssichere und erfolgreiche KI-Nutzung im Unternehmen

Künstliche Intelligenz (KI) ist längst kein Zukunftsthema mehr, sondern prägt schon heute zahlreiche Geschäftsprozesse – vom Kundenservice über das Personalmanagement bis hin zur Produktion und Logistik. Auch kleine und mittelständische Unternehmen (KMU) profitieren von den Effizienzsteigerungen, die KI-Systeme bieten. Mit der Verabschiedung des EU AI Act steht jedoch ein Paradigmenwechsel bevor.

Beitrag lesen