Dieses Thema betrifft alle, die mit US-Software arbeiten: Konferenztools, Streamingdienste, Teilnehmermanagementtools, usw.: Früher als erwartet hat die EU-Kommission einen Angemessenheitsbeschluss für den Datentransfer in die USA erlassen.
Darin wird festgelegt, dass die USA ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten sicher aus der EU an US-Unternehmen übermittelt werden, die am Rahmen teilnehmen, ohne dass zusätzliche Datenschutzgarantien eingeführt werden müssen.
Bisher war es ein komplexes und umstrittenes Unterfangen, Daten in die USA zu transferieren.
Jetzt: EU-US Data Privacy Framework
Das neue Werk nennt sich “EU-US Data Privacy Framework”, und ist nach den Vorgängern “Safe Harbor” und “Privacy Shield” bereits der dritte Anlauf, den Datentransfer in die USA auf rechtssichere Beine zu stellen. Die beiden Vorgänger wurden nach Klagen des Datenschutzaktivisten Max Schrems vom Europäischen Gerichtshof für rechtswidrig erklärt. Wenig überraschend hat Schrems mitgeteilt, auch gegen den EU-US Data Privacy Framework vorzugehen, da er ihn nicht für ausreichend hält, die Daten der EU-Bürger zu schützen.
Was soll jetzt anders sein?
Mit dem EU-US Data Privacy Framework werden neue verbindliche Garantien eingeführt, um allen vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen. So ist vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist und ein Gericht zur Datenschutzüberprüfung geschaffen wird, zu dem Einzelpersonen in der EU Zugang haben. Der neue Rahmen bringt erhebliche Verbesserungen gegenüber dem im Rahmen des Datenschutzschilds bestehenden Mechanismus mit sich. Stellt das Gericht zur Datenschutzüberprüfung beispielsweise fest, dass bei der Datenerhebung gegen die neuen Garantien verstoßen wurde, kann es die Löschung der Daten anordnen. Die neuen Garantien im Bereich des staatlichen Zugriffs auf Daten werden die Pflichten ergänzen, denen US-Unternehmen, die Daten aus der EU einführen, nachkommen müssen.
US-Unternehmen können sich dem EU-US Data Privacy Framework anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten, darunter bspw. die Pflichten, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dritte weitergegeben werden.
Was ist jetzt zu tun?
Keinesfalls sollte man nun einfach den Begriff “EU-US Data Privacy Framework” in seine Datenschutzerklärung schreiben! Zunächst müssten US-Unternehmen diesem Rahmenvertrag erstmal beitreten. Manche Unternehmen haben sich vielleicht bisher auf eine Einwilligung oder auf Standardvertragsklauseln (SCC) gestützt; man sollte keinesfalls vorschnell daher auf den neuen Rahmenvertrag “umsteigen”. Aber: Zumindest sollte man wissen, ob man Software nutzt oder mit Auftragsverarbeitern arbeitet, die personenbezogene Daten in die US transferieren. Dann gilt es zu prüfen, auf welcher Rechtsgrundlage der Transfer bisher stattgefunden hat und künftig stattfinden soll.
Gerne unterstützen wir Sie! Schreiben Sie uns jetzt eine Mail an info@eventfaq.de, und wir informieren Sie über die Möglichkeiten.
Ich berate alle Verantwortlichen auf einer Veranstaltung. Ich bin Rechtsanwalt und Fachanwalt für Urheber- und Medienrecht und Herausgeber von EVENTFAQ. Mehr über mich
Profitieren auch Sie von meiner jahrelangen praktischen und theoretischen Erfahrung in Organisation, anwaltlicher Beratung und Durchführung von Veranstaltungen aller Art!
Kontakt: info@eventfaq.de oder Telefon 0721 1205060.
Urheberangabe für das/die Foto(s) (Symbolfoto):
- Thomas-Waetke_Profil: © Sebastian Heck
- Privacy blue: © Weissblick - Fotolia.com
