Nachdem bereits zwei Datenschutzabkommen zwischen der EU und der USA gescheitert sind, wurde nun ein neuer Versuch gestartet. So hat die Europäische Kommission am 10. Juli 2023 der neue Data Privacy Framework veröffentlicht.

Doch was bedeutet dies nun für Sie als Website-Betreiber? Und führt der neue Datenpakt zwischen der EU und den USA tatsächlich zu einer Erleichterung? Gerne verraten wir Ihnen in diesem Newsbeitrag alles Wichtige rund um den neuen Data Privacy Framework. Darüber hinaus erfahren Sie, welche Maßnahmen nun zu setzen sind.

Was ist das Data Privacy Framework?

Dabei handelt es sich um ein Datenschutzabkommen zwischen der EU und den USA. Dadurch soll in Zukunft ein rechtssicherer Transfer personenbezogener Daten möglich sein. Mit dem Data Privacy Framework wurde laut Kommission auf die Bedingungen des Europäischen Gerichtshofes reagiert. Beispielsweise werde der Zugriff von US-Geheimdiensten auf Daten von EU-Bürgern auf ein angemessenes und notwendiges Maß beschränkt. Zusätzlich bestehen nun effiziente Möglichkeiten in den USA gegen Verstöße zu klagen.

US-Unternehmen können durch eine Verpflichtung zur Einhaltung von datenschutzrechtlichen Vorgaben dem Framework beitreten. Möglich ist dieses Abkommen durch die im vergangenen Jahr durch die US-Regierung erlassene Executive Order.

Was bedeutet das für die Praxis? 

Durch das Abkommen werden in Zukunft Datentransfers in die USA deutlich erleichtert. Bisher mussten sogenannte Standardvertragsklauseln verwendet werden, um Daten rechtmäßig in die USA übermitteln zu können. Mit dem neuen Datenschutzabkommen wird dies wohl nicht mehr erforderlich sein, wenn sich das Unternehmen in den USA verpflichtet, detaillierte Datenschutzpflichten einzuhalten. Die Unternehmen können Ihre Teilnahme am Datenschutzrahmen durch eine Zertifizierung bescheinigen. Das Abkommen wird vom US-Handelsministerium verwaltet. Dort werden auch Zertifizierungsanträge bearbeitet und überwacht.

Google & Co – Können externe Dienste aus den USA nun bedenkenlos verwendet werden?

Nicht unbedingt! Zunächst ist zu prüfen, ob der Betreiber des externe Dienstes auch gemäß dem Data Privacy Framework zertifiziert ist. Dennoch ist nach wie vor die Einwilligung des Nutzers (z.B. über einen Cookie Banner) notwendig, wenn Sie US-Dienste wie Google Analytics rechtskonform nutzen wollen. Daran hat auch das neue Data Privacy Framework nichts geändert!

Zudem ist davon auszugehen, dass das Abkommen gerichtlich überprüft werden wird. Der Datenschutzaktivist Max Schrems hat bereits angekündigt, gegen das Abkommen vorgehen zu wollen. Durch Max Schrems und seine Organisation NOYB wurden bereits zwei transatlantische Datenabkommen zu Fall gebracht. Schrems geht davon aus, dass das Abkommen Anfang nächsten Jahres vor dem Europäischen Gerichtshof landen wird.

Das ist nun zu tun

1. US Dienste identifizieren
Identifizieren Sie zunächst ALLE externen Dienste auf Ihrer Website, die Daten in die USA übertragen.
ACHTUNG: Um tatsächlich alle externen US-Dienste zu identifizieren muss JEDE einzelne Subseite analysiert werden. Holen Sie sich dafür unbedingt einen Spezialisten zur Seite!

2. Zertifizierung prüfen
Überprüfen Sie, ob der US-Anbieter dem Data Privacy Framework beigetreten ist und ob dieser eine entsprechende Zertifizierung hat.

3. Einwilligung überprüfen
Prüfen Sie, ob Sie sich die Einwilligung des Website-Besuchers rechtskonform einholen und passen Sie gegebenenfalls Ihr Consent Tool an.

4. Datenschutzerklärung anpassen
Passen Sie die relevanten Einträge in Ihrer Datenschutzerklärung an. Auch an dieser Stelle empfehlen wir Ihnen, dass Sie sich einen Experten holen. Nur so können Sie auf Nummer sicher gehen, dass Ihre Datenschutzerklärung auch rechtssicher ist!