Das Wichtige vorab: Bis Juli 2020 war es möglich, dass personenbezogene Daten auf der Grundlage des Privacy-Shield Abkommens in die USA übermittelt werden konnten. Anschließend wurde dies doch (im Schrems II-Urteil) für unwirksam erklärt. Aufgrund dieser Tatsache besteht nun ein neues Abkommen. Dieses nennt sich Data Privacy Framework. Die USA und die Europäische Kommission haben bekannt gegeben, dass es sich dabei um einen neuen, transatlantischen datenschutzrechtlichen Rahmen handelt, welcher den Datenverkehr zwischen den USA und der EU fördert.
Übrigens: Auf unserem Blog findest du auch einen Artikel zu Drittländern und Standardvertragsklauseln.
EU/USA Datenabkommen: Was sind die zentralen Aspekte?
Unternehmen aus den USA haben die Möglichkeit, sich dem Schutzrahmen (EU-USA) anzuschließen. Dabei verpflichten sie sich automatisch zur Einhaltung genauer Datenschutzpflichten. Das wären beispielsweise die Pflichten, personenbezogene Daten zu vernichten, wenn diese nicht mehr erforderlich sind und zudem auch den Schutz der Daten weiterhin zu gewährleisten, wenn diese an Dritte weitergegeben werden.
Praktisch ist, dass man nach Unternehmen in einer Liste suchen kann. Alle Unternehmen, die auf dieser Liste stehen, sind über das Abkommen abgesichert. Der Datentransfer ist damit rechtskonform und die Zusammenarbeit mit diesen Unternehmen damit möglich. Die Liste findet sich hier.
Mit Blick auf die USA sieht dieser Rechtsrahmen spezielle Beschränkungen mit Hinsicht auf den Zugang von US-Behörden und Daten vor (ganz speziell, wenn es um Datenzugriffe für eine Strafverfolgung geht). Folgende Vorschriften lassen sich dazu zählen:
- Zugang der US-Nachrichtendienste in Bezug zu EU-Daten soll auf das Nötigste beschränkt werden
- EU-Bürger haben das Recht, wenn es um die Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste geht, auf ein unabhängiges Rechtsbehelfsverfahren zurückgreifen können.
Hier findest du übrigens noch explizite Informationen zum Privacy Shield 2.0 zwischen den USA und der EU.