Datenschutz-Update: Privacy Shield 3 Versuch und die rechtssichere Nutzung von US-Dienstleistern
In unserer immer stärker vernetzten Welt ist der sichere und rechtskonforme Umgang mit Daten von entscheidender Bedeutung. Insbesondere wenn Sie auf Ihrer Website Tools aus den USA verwenden, gibt es einige wichtige Änderungen, die Sie kennen sollten. Seit dem 10. Juli 2023 ist das neue EU-US-Datenschutz-Framework (DPF) in Kraft. Dieses Framework ermöglicht es, Daten sicher und im Einklang mit dem Gesetz in die USA zu übertragen. In diesem Beitrag möchte ich Ihnen einige wichtige Punkte erläutern, die Sie beachten sollten, um US-Tools und -Programme datenschutzkonform zu nutzen.
Was das neue US Data Privacy Framework für Sie bedeutet
In den vergangenen Jahren hat der Europäische Gerichtshof (EuGH) festgestellt, dass die Daten von EU-Bürgern bei der Übertragung in die USA nicht ausreichend vor US-amerikanischen Überwachungsmaßnahmen geschützt waren. Dies hatte zur Folge, dass die Nutzung von Diensten, Programmen und Tools, die personenbezogene Daten von EU-Bürgern an Server in den USA übertragen, unzulässig wurde. Dies betraf viele Website-Betreiber weltweit und die Nutzung von Diensten wie Mailchimp, Google Analytics und Zoom war bis auf weiteres nicht rechtskonform möglich.
Mit dem neuen EU-US-Datenschutz-Framework (DPF) ändert sich das nun. Alle US-Dienstleister, die unter dem DPF zertifiziert sind, können nun rechtssicher eingesetzt werden. US-Unternehmen müssen ein Selbstzertifizierungsverfahren durchlaufen, um sich auf den Angemessenheitsbeschluss berufen zu können. Bei Unternehmen mit vielen EU-Nutzern oder Kunden, wie z.B. Meta, Google, Microsoft, AWS, ist zu erwarten, dass die Zertifizierung schnellstmöglich durchgeführt wird.
Wichtige Hinweise und Checkliste für die Datenübermittlung in die USA
Trotz des neuen Frameworks ist es weiterhin notwendig, eine Einwilligung für fast alle Tracking-Tools (wie Google Analytics, Meta Pixel, Hotjar etc.) über ein Cookie Consent Tool einzuholen. Der Nutzer sollte entscheiden können, ob er möchte, dass Tools wie Google Analytics diese Daten über ihn sammeln oder nicht. Der Datentransfer in die USA ist eine davon unterschiedliche Problematik.
Für den Datentransfer in Drittstaaten benötigen Sie geeignete Schutzgarantien, die mit dem neuen Data Privacy Framework nun gegeben sind. Das Einholen einer Einwilligung ist also auch weiterhin rechtlich notwendig.
Um Ihnen die Umsetzung zu erleichtern, habe ich eine 5-Schritte-Checkliste erstellt:
- Zertifizierung des Datenempfängers prüfen
- Bei nicht bestehender Zertifizierung US-Unternehmen anfragen
- Aktualisierung der Datenschutzerklärung und des Cookie Banners
- Bereits bestehende Standardvertragsklauseln (SCC) behalten
- Bei fehlender Zertifizierung weiterhin Transfer Impact Assessment vornehmen (TIA)
Ich hoffe, dass diese Informationen hilfreich für Sie sind und Sie sich an die sich ständig ändernde Landschaft des Datenschutzes anpassen können. Bleiben Sie auf dem Laufenden und zögern Sie nicht, bei Fragen oder Unklarheiten Kontakt aufzunehmen.