Skip links

Top-10 FAQ zum Data Privacy Framework

Die Top-10 Fragen zum neuen Datenschutzrahmen

Gute Neuigkeiten! Mit dem Angemessenheitsbeschluss der Europäischen Kommission ist seit dem 10. Juli 2023 der Datentransfer von personenbezogenen Daten zwischen der EU und den USA nun (fast) wieder uneingeschränkt möglich. Keine Sorge mehr über komplizierte Standardvertragsklauseln (SCC) oder das aufwendige Transfer Impact Assessment (kurz: TIA). Wir haben hier die zehn wichtigsten Fragen und Antworten zum neuen Data Privacy Framework (DPF) zusammengestellt, damit Sie im Handumdrehen bestens informiert sind!

1. Was ist unter dem neuen „Data Privacy Framework“ zu verstehen?

Das neue “Data Privacy Framework” ist ein Datenschutzabkommen zwischen der EU und den USA, das die USA als sicheren Drittstaat nach der EU-DSGVO einstuft. Damit ist ein sicherer Datentransfer von personenbezogenen Daten in die USA wieder möglich, nachdem der EuGH das Privacy Shield im Juni 2020 für nichtig erklärt hatte.

2. Können Sie US-Dienstleister und US-Tools, wie beispielsweise Google, Squarespace, Mailchimp & Co., wieder rechtmäßig nutzen?

Um US-Dienstleister oder US-Tools rechtmäßig zu nutzen, muss das entsprechende US-Unternehmen im Rahmen des DPF zertifiziert sein. Liegt eine Zertifizierung für das Unternehmen vor, ist die Nutzung problemlos möglich. Andernfalls müssen Sie weiterhin auf Standardvertragsklauseln und TIAs setzen. Eine Datenbank der US-Regierung ermöglicht die Überprüfung der Zertifizierung unter folgenden Link: https://www.dataprivacyframework.gov/s/

3. Wie können Sie sehen, ob das betroffene US-Unternehmen zertifiziert ist?

Die Datenbank enthält US-Unternehmen, die sich im Rahmen eines Selbstzertifizierungsverfahrens selbst zertifiziert haben. In unserem Beitrag “Data Privacy Framework: Was Unternehmer über den Datentransfer in die USA wissen müssen”, haben wir eine genaue Anleitung zur Prüfung von US-Unternehmen innerhalb der Datenbank für Sie bereitgestellt. Die Datenbank finden Sie auch hier: https://www.dataprivacyframework.gov/s/participant-search

4. Was müssen Sie bei der Recherche innerhalb der Datenbank beachten?

Die Datenbank unterteilt unter „Covered Data“ jeweils in “HR” und “Non-HR”. Für Sie ist dabei nur “Non-HR” relevant, da es alle personenbezogenen Daten einschließt, die Sie beim Gebrauch des US-Tools in die USA übertragen. Daraus folgt, dass solche personenbezogene Daten auch von der Zertifizierung erfasst sind. In diesem Fall erfolgt die Übertragung Ihrer Daten rechtmäßig.

Falls hingegen unter „Covered Data“ nur “HR” angegeben wird, betrifft es nur die personenbezogenen Daten der Mitarbeiter des betroffenen US-Unternehmens, nicht aber weitere personenbezogene Daten, wie solche, die Sie in die USA senden. In diesem Szenario wäre die Nutzung des US-Tools weiterhin rechtswidrig.

5. Wie können Sie Ihre Daten aus der EU sicher in die USA übertragen?

Um personenbezogene Daten sicher aus der EU in die USA zu übertragen, müssen Sie als Unternehmen oder Webseitenbetreiber darauf achten, dass das betroffene US-Unternehmen über eine Zertifizierung verfügt und anderweitige personenbezogene Daten („Non-HR“) davon umfasst sind. Weitere Informationen dazu finden Sie in unserem Beitrag “Data Privacy Framework: Was Unternehmer über den Datentransfer in die USA wissen müssen” .

6. Müssen Sie weiterhin innerhalb Ihres Cookie-Banners auf die Nutzung von Drittstaatentools hinweisen?

Auch wenn das neue Data Privacy Framework die Übertragung von personenbezogenen Daten aus der EU in die USA sicherer macht, ist es ratsam, vorerst den Hinweis in Ihrem Cookie-Banner beizubehalten. US-Unternehmen müssen sich erst selbst zertifizieren, und das kann eine Weile dauern. Indem Sie den Hinweis vorläufig beibehalten, gehen Sie auf Nummer sicher. Sobald die betroffenen US-Unternehmen, die Ihre genutzten US-Tools betreffen, sich registriert haben und in der Datenbank aufgeführt sind, können Sie den Hinweis auf US-Tools im Cookie-Banner entfernen.

7. Was ist mit Standardvertragsklauseln und Binding Corporate Rules, die Sie bisher abgeschlossen haben?

Standardvertragsklausen (SCC) und Binding Corporate Rules (BCR) bleiben weiterhin gültig. Das bedeutet, Sie können auch alternativ – neben dem DPF – darauf zurückgreifen. Allerdings benötigen Sie für die Durchführung ein zeit- und kostenintensives Transfer Impact Assessement (TIA). Auf ein solches können Sie aber verzichten, wenn das US-Unternehmen zertifiziert ist.

8. Sind Transfer Impact Assessments (TIAs) überflüssig?

Sofern ein US-Unternehmen zertifiziert ist, sind Transfer Impact Assessments in Ihrem Fall nicht mehr notwendig. Fehlt hingegen bei dem betroffenen US-Unternehmen eine Zertifizierung, sind Sie weiterhin auf die Durchführung eines Transfer Impact Assessments angewiesen.

9. Müssen Sie weiterhin die Einwilligung für US-Tools, wie zum Beispiel Google Analytics, Ihrer Nutzer einholen?

Auf jeden Fall! Trotz des neuen Abkommens zwischen EU und USA ist weiterhin die Einwilligung Ihrer Nutzer erforderlich, um Tracking- und Analyse-Tools zu nutzen. So regelt das die EU-DSGVO.

10. Müssen Sie Ihre Datenschutzerklärung anpassen?

Wir empfehlen Ihre Datenschutzerklärung anpassen zu lassen, sobald sich das von Ihrem genutzten US-Tool betroffene US-Unternehmen zertifiziert hat. Allerdings muss die Anpassung nicht sofort erfolgen, sondern es macht Sinn zunächst abzuwarten, bis sich alle oder ein Großteil der betroffenen US-Unternehmen zertifiziert haben. So können Sie Ihre Datenschutzerklärung in einem Rutsch anpassen lassen.

Beratung zum Datentransfer in die USA

Benötigen Sie Beratung zum Datentransfer in die USA oder sonstige datenschutzrechtlich unsichere Drittstaaten?
Sprechen Sie uns an!

Jetzt unverbindlich anfragen