SCHAFFLAND/WILTFANG
Datenschutz
digital
Hilfe zur Suche
Ihr Warenkorb ist leer
Sie sind Gast
Datenschutzabkommen zwischen der EU und den USA  
20.09.2023

Datenschutzkonferenz (DSK) veröffentlicht Anwendungshinweise zum neuen Datenschutzrahmen zwischen der EU und den USA

ESV-Redaktion Recht
Bei der Übermittlung personenbezogener Daten aus der EU in die USA gilt seit Juli 2023 der Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (Foto: dmutrojarmolinua / stock.adobe.com)
Nachdem der EuGH die transatlantischen Datenschutzabkommen „Safe Harbor Principles“ und „EU-U.S. Privacy Shield“ zwischen der EU und den USA für unwirksam hat, haben sich die Vertragsparteien auf ein neues „EU-U.S. Data Privacy Framework“ verständigt. Hierzu hat die DSK, die aus den unabhängigen Datenschutzbehörden des Bundes und der Länder besteht, am 04.09.2023 Anwendungshinweise veröffentlicht.


Die Hinweise enthalten Informationen für Datenexporteure, also die Verantwortlichen und Auftragsverarbeiter, die Daten in die USA übermitteln, sowie Informationen für betroffene Personen in Bezug auf deren Rechtsschutz- und Beschwerdemöglichkeiten.

Informationen für Datenexporteure

Die Informationen für Datenexporteure betreffen die sogenannten zertifizierten Stellen sowie einige Vorgaben zum Datenschutz:

  • Zertifizierte Stellen: US-Unternehmen können sich dem neuen Datenschutzrahmen anschließen, indem sie sich im Wege einer Selbstzertifizierung zur Einhaltung detaillierter datenschutzrechtlicher Vorgaben verpflichten. Das US-Handelsministerium führt diesbezügliche eine Liste zertifizierter Unternehmen. Nur die Unternehmen, die dort aufgelistet sind, genügen den Anforderungen des Datenschutzrahmens.

  • Datenschutzrechtliche Vorgaben: Eine rechtmäßige Datenverarbeitung liegt unter dem neuen Datenschutzrahmen nur vor, wenn der US-Datenimporteur die betroffenen Personen unter anderem über die Kategorien der erhobenen Daten, die Zwecke, für die sie erhoben werden, sowie die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten informiert und eine Opt‐out‐Möglichkeit anbietet. Jede weitere Verwendung der Daten ist nur zulässig, wenn sie mit dem ursprünglichen Erhebungszweck vereinbar ist. Personenbezogene Daten müssen richtig und vollständig verarbeitet werden. Umfang und Dauer der Verarbeitung müssen dem Zweck angemessen, hierfür erheblich sowie auf das für die Zwecke der Verarbeitung erforderliche Maß beschränkt sein. Weiterübermittlungen der personenbezogenen Daten an eine dritte Stelle (Verantwortlicher oder Auftragsverarbeiter) in den USA, ein anderes Drittland oder die EU sind nur zulässig, wenn der Importeur durch einen Vertrag mit dem Dritten sicherstellt, dass die personenbezogenen Daten dort denselben Schutz genießen wie beim Importeur. Zudem muss der Importeur geeignete und angemessene technische und organisatorische Maßnahmen ergreifen, um die personenbezogenen Daten vor Verlust, Missbrauch, unberechtigtem Zugang, Offenlegung, Veränderung oder Löschung zu schützen.
Der kostenlose Newsletter Recht – Hier können Sie sich anmelden! 
Redaktionelle Meldungen zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps.

Informationen für betroffene Personen

Rechtsbehelfe und Mechanismen

Zertifizierte US-Unternehmen müssen wirksame und leicht zugängliche unabhängige Rechtsbehelfsmechanismen vorsehen, mit denen die Beschwerden und Streitigkeiten von Personen für diese kostenlos untersucht und zügig gelöst werden können. Die Mechanismen können entweder in den USA oder in der EU bereitgestellt werden, wobei der letztere Fall auch die Möglichkeit umfasst, sich freiwillig zur Zusammenarbeit mit den EU‐Datenschutzaufsichtsbehörden zu verpflichten. Die Mechnismen für Rechtsbehelfe sind wie folgt gestaffelt:

Beschwerde: Betroffene Personen können zunächst wie folgt Beschwerde einlegen, und zwar 
  • direkt bei dem betreffenden zertifizierten Unternehmen,
  • bei einer von dem zertifizierten Unternehmen benannten unabhängigen Beschwerdestelle,
  • bei den Datenschutzaufsichtsbehörden in der EU,
  • beim US-Handelsministerium (DOC)
  • oder bei der US-Behörde für Wettbewerbskontrolle und Verbraucherschutz (FTC).
Verbindliches Schiedsverfahren: Wird der Beschwerde nicht abgeholfen, können die betroffenen Personen ein verbindliches Schiedsverfahren anstrengen. Das Schiedsverfahren setzt aber voraus, dass vor der Durchführung bestimmte Rechtsmittel ausgeschöpft sein müssen. Die Rechtsbehelfe stehen dabei in keinem Alternativverhältnis, es muss auch keine bestimmte Reihenfolge eingehalten werden.

Der neue Datenschutzrahmen ist geltendes EU‐Recht, solange er in Kraft ist. Auch diesen Rahmen kann der EuGH überprüfen und ggf. für ungültig erklären.

Quelle: Anwendungshinweise der Datenschutzkonferenz vom 4. September 2023

(ESV/cw)


juris Datenschutz

In juris Datenschutz recherchieren Sie mit nur einer Suchanfrage gleichzeitig in mehreren Premium-Kommentierungen und weiterer Literatur zur DS-GVO und zum neuen BDSG.



juris Datenschutz enthält folgende Werke aus dem Erich Schmidt Verlag:

  • PinG Privacy in Germany, Datenschutz und Compliance, Fachzeitschrift
  • Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/ Bundesdatenschutzgesetz (BDSG), Kommentar, bearbeitet von Dr. Hans-Jürgen Schaffland, Gabriele Holthaus und Dr. Astrid Schaffland
  • TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), Berliner Kommentar, von Prof. Dr. Anne Riechert und Prof. Dr. Thomas Wilmer (Hrsg.)
  • Datenschutz für Vereine von Achim Behn und Dr. Frank Weller
  • Datenschutz in der Kommunalverwaltung von Dr. Martin Zilkens und Dr. Lutz Gollan
  • WLAN und Recht von Dr. jur. Thomas Sassenberg und Dr. jur. Reto Mantz, Richter (LG Frankfurt am Main)
  • Handbuch Datenschutz und IT-Sicherheit von Dr. Uwe Schläger und Jan-Christoph Thode (Hrsg.)
  • Datenrecht in der Digitalisierung von Prof. Dr. Louisa Specht-Riemenschneider, Nikola Werry, LL.M. (UK), Susanne Werry, LL.M. (UK) (Hrsg.)
  • Handbuch Kundendatenschutz von Dr. Simon Menke
Verlagsprogramm Weitere Nachrichten aus dem Bereich Recht 

Die Nutzung für das Text und Data Mining ist ausschließlich dem Erich Schmidt Verlag GmbH & Co. KG vorbehalten. Der Verlag untersagt eine Vervielfältigung gemäß §44b UrhG ausdrücklich.
The use for text and data mining is reserved exclusively for Erich Schmidt Verlag GmbH & Co. KG. The publisher expressly prohibits reproduction in accordance with Section 44b of the Copy Right Act.

© 2025 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon: +49 30 25 00 85-0, Telefax: +49 30 25 00 85-305 E- Mail: ESV@ESVmedien.de
PinGdigital        Erich Schmidt Verlag