Viele von uns nutzen täglich Dienste und Tools von Unternehmen mit Sitz in den USA. Diese Unternehmen verarbeiten große Mengen personenbezogener Daten von uns und unseren Kunden. Man denke nur an Google Workspace, MS 365, Zoom, ActiveCampaign und Trello.

Der datenschutzkonforme Transfer personenbezogener Daten über den Atlantik ist in den vergangenen Jahren durch den Wegfall des Privacy Shields zu einer Herausforderung geworden, die auch viele Soloselbstständige und Kleinstunternehmen betrifft.

Das neue EU-US Data Privacy Framework ist da
Das neue EU-US Data Privacy Framework ist da

Seit Juli 2023 gibt es das neue EU-US Data Privacy Framework. Das Datenschutzabkommen zwischen der EU und den USA soll dieser Herausforderung nun entgegenkommen, Unsicherheiten abbauen und einen sicheren Rahmen für den Datentransfer zwischen der EU und den USA schaffen.

In diesem Artikel gehe ich auf die Punkte ein, die du als Soloselbstständiger beachten solltest. Außerdem verlinke ich dir weitere Artikel, in denen du noch mehr über das EU-US Data Privacy Framework erfahren kannst.

Dieser Artikel vereinfacht Datenschutzthemen für Soloselbstständige und Kleinstunternehmen. Er gibt einen Einblick, ohne alles abzudecken. Du möchtest keine Artikel mehr verpassen? Melde dich für den Newsletter an.

Anmelden

Was ist das EU-US Data Privacy Framework?

Das EU-US Data Privacy Framework ist ein neues Abkommen zwischen der EU und den USA, das am 10. Juli 2023 in Kraft getreten ist. Dieses Abkommen ermöglicht es wieder, Daten rechtssicher in die USA zu übermitteln, was insbesondere für die Nutzung von US-Tools und -Diensten relevant ist.

Allerdings müssen dafür bestimmte Voraussetzungen erfüllt sein.

Um als sicherer Datenempfänger zu gelten und die Grundsätze des EU-US Data Privacy Frameworks einzuhalten, muss sich ein US-Unternehmen einem Selbstzertifizierungsverfahren des U.S. Department of Commerce (US-Handelsministerium) unterziehen. Nach der Zertifizierung muss ein US-Unternehmen diese jährlich erneuern.

Was bedeutet das neue EU-US Data Privacy Framework für dich?

Prüfe, ob eine Selbstzertifizierung vorliegt

Das bedeutet für dich, dass du vor der Datenübermittlung in die USA prüfen musst, ob das US-Unternehmen selbst zertifiziert ist.

Ergebnis für Microsoft – Data Privacy Framework
Ergebnis für Microsoft – Data Privacy Framework

Auf einer Seite des U.S. Department of Commerce kannst du nach dem US-Unternehmen suchen und überprüfen, ob einer Selbstzertifikation und das entsprechende Framework, sowie den entsprechenden Daten (Covered Data → Non-HR) vorliegt.

Aktualisiere deine Datenschutzhinweise

Aktualisiere deine Datenschutzhinweise in Bezug auf das EU-US-Data Privacy Framework und die Empfänger der Daten.

eRecht24, Schwenkes Datenschutz Generator und IT Recht Kanzlei haben ihre Datenschutz-Generatoren bereits angepasst.

Prüfe die Texte deines Cookie-Banner

Dasselbe gilt für deinen Cookie-Banner.

Überprüfe die verwendeten Texte, die auf den US-Transfer hinweisen.

Diese Texte und Hinweise brauchst du nicht mehr, wenn all (!) die US-Unternehmen, die du einsetzt, zertifiziert sind.

Aktualisiere dein Verzeichnis von Verarbeitungstätigkeiten

Im Verzeichnis von Verarbeitungstätigkeiten werden beim Einsatz von US-Tools die zugrundeliegende Rechtsgrundlage aufgeführt.

Aktualisiere dein Verzeichnis von Verarbeitungstätigkeiten.

Falls dir ein Verzeichnis von Verarbeitungstätigkeiten noch fremd ist, kannst du in diesem Artikel über personenbezogene Daten mehr erfahren.

FAQ – EU-US Data Privacy Framework

Beachte, dass trotz des neuen EU-US Data Privacy Frameworks für die meisten Webanalysetools weiterhin eine Einwilligung erforderlich ist.

Die Einholung einer Einwilligung ist daher weiterhin erforderlich.

Ja. Ein Auftragsverarbeitungsvertrag hat primär nichts mit dem Datentransfer in die USA zu tun. Er regelt generell, wie der Datenverarbeiter mit deinen Daten umgeht.

Ein Auftragsverarbeitungsvertrag ist zwingend notwendig (ok, es gibt auch Ausnahmen), wenn ein Dienstleister oder ein Tool für dich personenbezogene Daten verarbeitet.

Obwohl das neue Framework nun in Kraft ist, gibt es auch kritische Stimmen.

Allen voran Max Schrems, der für die beiden EuGH-Entscheidungen „Schrems I und II“ verantwortlich ist. Er hat angekündigt, erneut vor den EuGH zu ziehen. Die weitere Entwicklung bleibt also abzuwarten.

Die Aufsichtsbehörde für Datenschutz Thüringen veröffentlichte eine Pressemitteilung: Anwendungshinweise der DSK zum Angemessenheitsbeschluss des EU-U.S. Data Privacy Framework – Der TLfDI weicht vom Votum der DSK ab und nimmt Stellung!

Oft ebenso diskutiert: Schreckgespenst US-Datentransfer – Falscher Vergleich lenkt von europäischer Überwachung ab.

Nicole Werner

Ich bin Wirtschaftsinformatikerin, Datenschutzbeauftragte, Bloggerin, Vermittlerin und neuronale Pingpong-Spielerin. Ich mache komplexe Themen verständlich und liebe TechNights.

Mehr über mich erfährst du auf meiner Über Mich Seite.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert