Am 10. Juli 2023 hat die Europäische Kommission den neuen Angemessenheitsbeschluss für die USA auf Grundlage des „Data Privacy Framework“ erlassen. Damit ist eine rechtssichere Datenübertragung in die USA wieder möglich geworden.
Sollten Sie auf Ihren Webseiten Tracking-, Marketing- und Analyse-Tools von US-Unternehmen verwenden oder Dienste wie Google, Microsoft oder Amazon benutzen, dürfte dies eine Erleichterung sein.
Um als US-Unternehmen als sicherer Datenempfänger zu gelten und die Grundsätze des Data Privacy Frameworks einzuhalten, muss es ein Selbstzertifizierungsverfahren des US-Handelsministeriums (Department of Commerce, DOC) durchlaufen. Dieser Zertifizierung ist jährlich zu wiederholen.
Vorgehen für Unternehmen mit Sitz in der EU
Europäische Unternehmen, die personenbezogene Daten im Rahmen des Angemessenheitsbeschlusses der Datenschutzbehörde in die USA übermitteln möchten, müssen nunmehr prüfen, ob der US-Datenempfänger vom DOC zertifiziert wurde und ob die betreffende Datenübermittlung von dieser Zertifizierung abgedeckt ist. Hierfür steht eine Datenbank unter https://www.dataprivacyframework.gov/s/ zur Verfügung.
Sie sollten zudem die Datenschutzhinweise und den Text des Cookie Banners aktualisieren. Die Einholung einer Einwilligung mittels Cookie Consent Tool ist hiervon nicht betroffen, denn es geht um die Entscheidung des Users, ob Daten übermittelt werden dürfen oder nicht.
Sofern Sie bereits Standardvertragsklauseln mit einem US-Unternehmen geschlossen haben, können Sie diese behalten. Nach wie vor können diese als Instrument zur rechtssicheren Datenübermittlung genutzt werden. Sofern keine Zertifizierung vorliegt, ist dies nach wie vor das Mittel der Wahl zur Absicherung der Datenübermittlung, mit ergänzender Anfertigung eines Transfer Impact Assessment (TIA).