EU-U.S. Data Privacy Framework: USA bieten angemessenen Schutz für Personendaten

Am 11. Juli 2023 hat die Europäische Kommission die Angemessenheit des EU-U.S. Data Privacy Framework bestätigt (Medienmitteilung). Die EU-Kommission erachtet damit den Datenschutz in den USA für Personendaten aus der EU als angemessen, sofern der Importeur (US-Unternehmen, an welches Personendaten übermittelt werden) am Framework teilnimmt. Eine Teilnahme am Framework ist für US-Unternehmen, die bestimmte Datenschutzpflichten wie Zweckbindung, Datenminimierung, Speicherbegrenzung und Datensicherheit einhalten, über eine Zertifizierung möglich.

Für den Datenexport aus der Schweiz besteht zurzeit noch kein eigenes Framework, aber das SECO ist mit den USA im Kontakt ein solches zu erarbeiten. Geplant ist, dass ehemalige Swiss-U.S. Privacy Shield Framework, welches als ungenügend erachtet wird, abzulösen. Es ist zu hoffen, dass das Framework vor dem Inkrafttreten des revidierten Datenschutzgesetzes am 1. September 2023 vorliegt. Bis dahin sollten Schweizer Unternehmen weiterhin die von der EU ausgearbeiteten und vom EDÖB anerkannten Standardvertragsklauseln (SCC) verwenden, wenn sie Daten in die USA transferieren (weitere Informationen zum Datentransfer).

Bisher mussten Schweizer Unternehmen immer ein Transfer Impact Assessment (TIA; Risikoabwägung) durchführen, bevor Sie Daten in die USA transferierten. Dies entfällt nun aber mit der Anerkennung des EU-U.S. Data Privacy Frameworks, sofern der Importeur zertifiziert ist. Der Angemessenheitsbeschluss ist ein wichtiger Schritt für den sicheren Datentransfer in die USA und ermöglicht die Nutzung der gängigsten Tools.

(11.07.2023/Benjamin Hundius)

Update vom 19.07.2023:

Ab dem 17. Juli 2023 kann auf der Liste des U.S. Department of Commerce gesucht werden, welche Unternehmen eine entsprechende Zertifizierung besitzen und somit eine Datenübertragung ohne Transfer Impact Assessment möglich ist: https://www.dataprivacyframework.gov/s/participant-search

Denken Sie daran auch die Subdienstleister kritisch zu hinterfragen und zu prüfen, ob hinreichende Garantien vorliegen (z.B. SCC). Gegebenenfalls haben Sie ein TIA durchzuführen, sofern diese nicht auf der Liste sind oder in einem anderen unsicheren Drittstaat ihren Sitz haben.

Speichern Sie Personendaten bei einem US-amerikanischen Unternehmen wie Google, Mailchimp, Microsoft oder Facebook?
Haben Sie Fragen zur aktuellen datenschutz-rechtlichen Situation?
Möchten Sie Ihr Unternehmen fit machen für das revidierte Datenschutzgesetz?
Dann zögern Sie nicht, mit uns in Kontakt zu treten.

Ihre Spezialisten:

Simon T. Oeschger

Michael Widmer

Benjamin Hundius