Die norwegische Datenschutzbehörde erhält derzeit zahlreiche Fragen zu den Regeln für die Übermittlung personenbezogener Daten in die USA. In diesem Artikel versuchen wir, einige davon zu beantworten.
1. Welche Regeln gelten für die Übermittlung personenbezogener Daten in die USA und was ist ein Angemessenheitsbeschluss?
Die Übermittlung personenbezogener Daten außerhalb des EWR ist grundsätzlich nicht gestattet, es gibt jedoch eine Reihe von Ausnahmen. Sie können personenbezogene Daten beispielsweise in Länder, Gebiete und Sektoren übermitteln, die die Europäische Kommission durch einen sogenannten Angemessenheitsbeschluss „genehmigt“ hat .
Für die USA liegt ein Angemessenheitsbeschluss vor, der besagt, dass Sie personenbezogene Daten an US-Unternehmen übermitteln können, die auf dieser Liste aufgeführt sind: Data Privacy Framework List (dataprivacyframework.gov) .
Näheres zum Angemessenheitsbeschluss können Sie in einem früheren Artikel auf unserer Website nachlesen . Darin wird auch erläutert, was die Vorschriften zur Übermittlung personenbezogener Daten an US-Unternehmen besagen, die nicht auf der Liste stehen.
Auch wenn die Übertragungsregeln keine konkreten Beschränkungen vorgeben, müssen Sie selbstverständlich stets die übrigen Regeln der Datenschutz-Grundverordnung ( DSGVO ) beachten.
2. Mehrere Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB) wurden entlassen. Was ist PCLOB und was bedeutet diese Entwicklung für die Angemessenheitsentscheidung der Vereinigten Staaten?
Wenn die Europäische Kommission einen Angemessenheitsbeschluss fasst, prüft sie zahlreiche verschiedene Faktoren, um sicherzustellen, dass personenbezogene Daten in dem betreffenden Land in ähnlicher Weise verarbeitet werden wie im EWR.
In der Angemessenheitsentscheidung für die Vereinigten Staaten hebt die Europäische Kommission PCLOB (pclob.gov) hervor . PCLOB überwacht US-Geheimdienste, um sicherzustellen, dass die Rechte des Einzelnen nicht verletzt werden. Dies ist ein wichtiger Baustein, um eine zufriedenstellende Verarbeitung personenbezogener Daten, die in die USA übermittelt werden, sicherzustellen.
Der US-Präsident hat vor Kurzem mehrere Vorstandsmitglieder des PCLOB entlassen, so dass zum Zeitpunkt der Veröffentlichung dieses Artikels nur noch ein Vorstandsmitglied im Amt ist. Dies bedeutet, dass das PCLOB derzeit nicht beschlussfähig ist.
Nach Kenntnis der Datenschutzbehörde besteht die Absicht, neue Vorstandsmitglieder für das PCLOB zu ernennen. Darüber hinaus gehen wir davon aus, dass das PCLOB einige seiner Aufgaben in der Zwischenzeit erfüllen kann, auch wenn das Gremium noch nicht vollständig konstituiert ist. Daher muss eine Neubesetzung des Vorstands nicht zwangsläufig ein Problem darstellen. Dies wird nur dann zu einer Herausforderung, wenn die Einsetzung neuer Vorstandsmitglieder sehr lange dauert.
Der Angemessenheitsbeschluss für die USA gilt weiterhin.
Ansonsten gelten weiterhin die US-amerikanischen Gesetze, die unsere personenbezogenen Daten in den USA schützen sollen.
3. Was passiert, wenn es in den USA zu weiteren Änderungen kommt?
Die Entscheidung darüber, ob ein Land einen Angemessenheitsbeschluss erhalten soll, liegt bei der Europäischen Kommission. Darüber hinaus beobachtet die Europäische Kommission Änderungen der Gesetze oder Praktiken in Ländern, für die bereits ein Angemessenheitsbeschluss vorliegt, und beurteilt, ob die Änderungen dazu führen, dass unsere personenbezogenen Daten nicht mehr ausreichend geschützt sind. Wenn das Schutzniveau personenbezogener Daten nicht mehr ausreichend ist, kann die Europäische Kommission Angemessenheitsbeschlüsse widerrufen.
Ein Angemessenheitsbeschluss bleibt so lange gültig, bis er von der Europäischen Kommission oder dem Gerichtshof der Europäischen Union widerrufen wird.
Dies bedeutet, dass etwaige Änderungen in den USA nicht automatisch zur Aufhebung des Angemessenheitsbeschlusses führen. Die Europäische Kommission wird derartige Änderungen allerdings beobachten und sorgfältig prüfen.
Ein Angemessenheitsbeschluss bindet auch die Datenschutzbehörden. Die norwegische Datenschutzbehörde kann einen Angemessenheitsbeschluss nicht widerrufen oder Übermittlungen verbieten, die aufgrund eines Angemessenheitsbeschlusses erfolgen.
4. Worüber sollte Ihr Unternehmen nachdenken?
Obwohl es derzeit Vorschriften gibt, die die Übermittlung personenbezogener Daten in die USA erleichtern, gehen wir davon aus, dass diese Vorschriften früher oder später vor dem Europäischen Gerichtshof angefochten werden. Auch die Lage in den USA trägt zur Unsicherheit bei. Dies muss beim Bezug amerikanischer Dienstleistungen unbedingt beachtet werden.
Der wichtigste Ratschlag für Ihr Unternehmen besteht darin, eine Exit-Strategie für den Fall zu haben, dass Sie personenbezogene Daten nicht mehr auf die gleiche Weise wie heute in die USA übermitteln können. Beachten Sie auch, dass die Nutzung von US-Cloud-Diensten auf europäischem Boden beeinträchtigt werden könnte, wenn der Angemessenheitsbeschluss aufgehoben wird. Lesen Sie hierzu unseren Ratgeber .
Wird ein Angemessenheitsbeschluss aufgehoben, wird es höchstwahrscheinlich keine Übergangsfrist geben. In diesem Fall stellen wir weitere Informationen bereit.
https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2025/informasjon-om-overforinger-til-usa