Das Jahr 2023 fängt wirklich gut an. Europäische Unternehmen und Websitebetreiber können aufatmen. Die lang ersehnte neue Version des Privacy-Shield-Abkommens steht in den Startlöchern. Voraussichtlich ab Mitte des Jahres ist der Datentransfer zwischen der Europäischen Union und den USA wieder rechtlich geregelt. Websitebetreiber können dann wieder ohne Sorge und ohne Standardvertragsklauseln US-Dienste wie beispielsweise Google Analytics nutzen.
Was bisher geschah
Bis 2020 wurde der Datenaustausch zwischen der EU und den USA zuerst durch das Safe-Harbor-Abkommen und dann durch das EU-U.S.-Privacy-Shield-Abkommen geregelt. Speziell im Privacy-Shield-Abkommen sollte die Datenspeicherung europäischer Daten durch einen Angemessenheitsbeschluss auf Grundlage der DSGVO erfolgen. Ziel war es unter anderem, den Zugriff auf „EU-Daten“ durch US-Behörden so einzuschränken, dass dieser den Datenschutzstandards der DSGVO entspricht. Da laut EuGH dieser Schutz personenbezogener Daten trotz des Abkommens nicht gewährleistet war, wurde am 16.07.2020 das EU-U.S.-Privacy Shield-Abkommen für ungültig erklärt. Der Schutz personenbezogener Daten von EU-Bürgern sei in den USA nicht gegeben. Besonders, weil amerikanische Behörden beinahe uneingeschränkt Zugriff auf Daten von EU-Bürgern gehabt haben sollen. Die USA biete also laut EuGH nicht den gleichwertigen Datenschutz wie die EU und somit durften keine personenbezogene Daten von EU-Bürgern mehr in den USA gespeichert werden.
Dieses Urteil des EuGH (Schrems-II- Urteil) fühlte sich 2020 natürlich für viele Websitebetreiber wie ein Schlag ins Gesicht an. Schließlich nutzen die meisten Unternehmen auch amerikanische Softwareprodukte für die eigene Website. Google Analytics ist wohl das bekannteste und meistgenutzte US-Tool, das von Websitebetreibern zu Analysezwecken verwendet wird.
Standardvertragsklauseln (SCC) als Ausweg
Nach dem Schrems-II-Urteil des EuGH mussten Unternehmen mit jedem US-Dienstleister die von der EU-Kommission entworfenen Standardvertragsklauseln abschließen, um weiterhin personenbezogene Daten in die USA versenden zu können. Dies gilt übrigens auch jetzt noch. Diese Standardvertragsklauseln stellen sicher, dass die US-Dienstleister personenbezogene Daten von EU-Bürgern dem europäischen Datenschutzniveau entsprechend verwalten.
So kann man zwar über diesen Umweg weiterhin Daten rechtskonform bei US-Diensten speichern, jedoch ist dies für Websitebetreiber und Unternehmen mit einem deutlichen Mehraufwand verbunden.
Privacy Shield 2.0 kommt!
Nachdem die USA eine neue Rechtsgrundlage für die Datenübermittlung in die USA entwickelt hat und die Europäische Kommission in einem Entwurf einer Angemessenheitsentscheidung entschied, dass die neue Rechtsgrundlage ein angemessenes Schutzniveau für Daten von EU-Bürgern bietet, wurde der Weg für ein neues Abkommen geebnet.
Noch ist es allerdings nicht so weit. Erst wenn die Europäische Union endgültig den Angemessenheitsbeschluss erlässt, gibt es wieder einen freien und sicheren Datenaustausch zwischen den USA und der EU.
Mit der künftigen Einführung des „Privacy Shield 2.0“-Abkommens wird der Datentransfer in die USA wieder erleichtert und rechtlich auf sicherem Boden stattfinden. Offiziell wird das neue Abkommen „EU-US Data Privacy Framework“ heißen und soll spätestens im Sommer dieses Jahres in Kraft treten.
Wie sollten Sie jetzt mit US-Diensten umgehen?
Bis das neue EU-US Data Privacy Framework tatsächlich in Kraft tritt, empfehlen wir weiterhin die Verwendung der Standardvertragsklauseln. Standardvertragsklauseln (Standard Contractual Clauses – SCC) sind von der EU-Kommission bereitgestellte Mustervorlagen und sollen sicherstellen, dass Daten auch dann den europäischen Datenschutzstandards entsprechen, wenn diese in Drittländer (wie beispielsweise in die USA) überliefert und dort gespeichert werden. Noch müssen Sie also bei jedem einzelnen Nicht-EU-Dienstleister individuell prüfen, ob das Datenschutzniveau im Sinne der DSGVO gewährleistet ist.
Hier finden Sie eine Empfehlung des Europäischen Datenschutzausschusses zur sicheren Datenübertragung in Länder außerhalb der EU.
Gibt es Änderungen bei den AdSimple Datenschutztexten?
In unserem Datenschutz Generator befinden sich auch viele anwaltlich geprüfte Texte zu Dienstleistern außerhalb der EU. Wenn es bereits einen Angemessenheitsbeschluss wie etwa für die Schweiz oder für Kanada gibt, wird dies in unseren Datenschutztexten erwähnt. Wenn US-Dienste Standardvertragsklauseln nutzen, werden diese ebenfalls in den Texten erwähnt. Wenn bei einem Dienst das Datenschutzniveau nicht jenem der DSGVO entspricht, weisen wir im Datenschutztext darauf hin.
Sobald das neue EU-US Data Privacy Framework in Kraft tritt, werden wir selbstverständlich auch unsere Texte an die aktuelle rechtliche Datenschutzlage anpassen. Sie werden dann sofort informiert und können Ihre Datenschutzerklärung in unserem Datenschutz Generator umgehend aktualisieren.
Fazit
US-Präsident Biden hat Datenschutzmaßnahmen gesetzt, die von Seiten der Europäischen Kommission ausreichen, um einen sicheren Datentransfer aus der EU in die USA zu gewährleisten. Daraus folgt ein Angemessenheitsbeschluss, der besagt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten von EU-Bürgern bieten werden.
Die Europäische Kommissionspräsidentin Ursula von der Leyen und der US-Präsident Joe Biden haben sich also geeinigt und schenken uns in diesem Jahr noch ein neues Privacy-Shield-Abkommen, das dann ganz offiziell EU-US Data Privacy Framework heißen wird.
Das neue Datenschutz-Abkommen wird künftig als rechtliche Basis für den Datentransfer in die USA gelten. Nutzungen von US-Tools wie Google Analytics werden für Unternehmen und Websitebetreiber wieder problemlos möglich sein. Die derzeit noch notwendigen Standardvertragsklauseln werden nicht mehr nötig sein bzw. ohnehin abgeschafft werden.
Bis der Angemessenheitsbeschluss erlassen wird, weisen wir in unseren AdSimple Datenschutztexten noch auf die Risiken des Datentransfers in die USA hin. Sobald das Abkommen in Kraft tritt, aktualisieren wir die Texte und werden Sie darüber zeitnah informieren. So können Sie Ihre Datenschutzerklärung in unserem Datenschutz Generator entsprechend updaten.