Data Privacy Framework
Das neue EU-US Datenschutzabkommen
Der Europäische Gerichtshof erklärte 2020 das bestehende „Privacy Shield“ Datenschutzabkommen zwischen den USA und der Europäischen Union für nichtig. Bei US-Unternehmen gespeicherte Daten europäischer Bürger seien nicht ausreichend vor dem Zugriff amerikanischer Geheimdienste geschützt, so die Begründung. Nach drei Jahren des Ringens um ein Nachfolgeabkommen gibt es nun das Data Privacy Framework. Aber was steckt hinter dem „DPF“ und was bedeutet das konkret für Ihre Website?
Rechtssicherheit kehrt zurück
Nachdem seit dem EuGH-Urteil von 2020 lange rechtliche Unsicherheit bei der Nutzung von Tools US-amerikanischer Unternehmen herrschte, bietet das im Juli 2023 in Kraft getretene Data Privacy Framework nun wieder konkrete Anhaltspunkte für den rechtssicheren Einsatz von US-Tools.
Damit ein Unternehmen als sicherer Datenempfänger gilt, muss es ein Selbstzertifizierungsverfahren des amerikanischen Handelsministeriums DoC (Department of Commerce) durchlaufen und diese Zertifizierung jährlich erneuern.
Was muss ich als Websitebetreiber nun tun?
Setzen Sie als Websitebetreiber Tools ein, die Daten in die USA übermitteln, so müssen Sie:
- Auf der Website des DPF (https://www.dataprivacyframework.gov/s/participant-search) prüfen, ob die von Ihnen eingesetzten Tools von einem US-Unternehmen stammen, das für das DPF zertifiziert ist.
- Überprüfen, ob das US-Unternehmen auch für die Art der Daten, die übertragen werden, zertifiziert ist. Es ist z. B. möglich, dass ein Unternehmen nicht für „HR“ also Personaldaten zertifiziert ist – Sie dürften ein solches Tool dann z.B. nicht zum Bewerber- oder Mitarbeitermanagement nutzen.
Sind diese Anforderungen erfüllt, so können Sie die entsprechenden US-Tools auch rechtssicher auf Ihrer Website einbinden.
Datenschutzerklärung updaten
Im Rahmen Ihrer Informationspflichten nach DSGVO sollten Sie in Ihrer Website-Datenschutzerklärung kenntlich machen, dass ein US-amerikanisches Tool zum Einsatz kommt und ergänzen, dass dieser Dienstanbieter nach dem EU-US Data Privacy Framework zertifiziert ist.
Sollten Sie hierbei Support oder Beratung benötigen, helfen wir Ihnen gerne weiter.