Viele Unternehmen nutzen Cloud-Dienste, Software oder IT-Services von US-Anbietern. Dabei werden häufig personenbezogene Daten in die USA übermittelt. Solche Datentransfers in ein Drittland unterliegen den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und erfordern eine geeignete Rechtsgrundlage.
EU-US Data Privacy Framework als Grundlage für Datenübermittlungen
Mit dem EU-US Data Privacy Framework (DPF) hat die Europäische Kommission einen Angemessenheitsbeschluss für die USA erlassen. Dadurch können personenbezogene Daten grundsätzlich an US-Unternehmen übermittelt werden, die nach dem Data Privacy Framework zertifiziert sind. In diesen Fällen sind regelmäßig keine zusätzlichen Standardvertragsklauseln (Standard Contractual Clauses, SCC) erforderlich.
Für Unternehmen vereinfacht dies den transatlantischen Datentransfer erheblich.
Warum Unternehmen die Entwicklung dennoch beobachten sollten
Das Data Privacy Framework steht weiterhin im Fokus datenschutzrechtlicher und gerichtlicher Diskussionen. Laufende Verfahren und politische Entwicklungen könnten Auswirkungen auf die zukünftige Bewertung des Angemessenheitsbeschlusses haben. Wie sich diese Entwicklungen konkret auf internationale Datenübermittlungen auswirken werden, lässt sich derzeit nicht sicher vorhersagen.
Aktuell besteht jedoch kein Anlass, bestehende Datenübermittlungen an zertifizierte US-Unternehmen vorsorglich einzustellen. Das EU-US Data Privacy Framework gilt unverändert und kann weiterhin als Rechtsgrundlage für Datentransfers in die USA genutzt werden.
Was Unternehmen jetzt tun sollten
Unabhängig von der aktuellen Rechtslage empfiehlt es sich, den internationalen Datentransfer regelmäßig zu überprüfen. Dazu gehören insbesondere:
- Ermitteln Sie, welche Dienstleister außerhalb der EU personenbezogene Daten erhalten.
- Dokumentieren Sie die jeweilige Rechtsgrundlage der Datenübermittlung.
- Prüfen Sie regelmäßig, ob US-Dienstleister weiterhin nach dem EU-US Data Privacy Framework zertifiziert sind.
- Stellen Sie sicher, dass für nicht zertifizierte Anbieter geeignete Garantien, beispielsweise Standardvertragsklauseln (SCC), bestehen.
- Aktualisieren Sie Ihr Verzeichnis der Verarbeitungstätigkeiten sowie Ihre Datenschutzdokumentation regelmäßig.
Fazit
Internationale Datentransfers bleiben ein dynamisches Thema im Datenschutzrecht. Unternehmen sollten die Entwicklung des EU-US Data Privacy Framework aufmerksam verfolgen und ihre Datenschutzorganisation so aufstellen, dass sie auf mögliche Änderungen zeitnah reagieren können. Ein aktuelles Datenschutzmanagement schafft Rechtssicherheit und reduziert Compliance-Risiken bei Datenübermittlungen in Drittländer.