DSGVODrittlandtransferUSA

DSGVO-Drittlandtransfer: Daten in die USA übermitteln

Von Redaktion VertragLotse

Die Übermittlung personenbezogener Daten in Drittländer wie die USA ist eines der schwierigsten Themen der DSGVO. Seit dem EU-US Data Privacy Framework gibt es aber neue Möglichkeiten.

Grundsatz: Drittlandtransfer nur mit Garantien

Die DSGVO erlaubt die Übermittlung personenbezogener Daten in Drittländer nur, wenn ein angemessenes Datenschutzniveau sichergestellt ist (Art. 44 ff. DSGVO).

Mechanismen für den Drittlandtransfer

1. Angemessenheitsbeschluss (Art. 45 DSGVO)

Die EU-Kommission kann feststellen, dass ein Land ein angemessenes Schutzniveau bietet. Aktuell gilt dies u. a. für:

  • Schweiz, UK, Japan, Südkorea, Israel

  • USA: Seit Juli 2023 über das EU-US Data Privacy Framework (DPF) – aber nur für zertifizierte Unternehmen


2. Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c)

Für Länder ohne Angemessenheitsbeschluss oder nicht-zertifizierte US-Unternehmen sind SCCs das wichtigste Instrument. Seit Juni 2021 gelten die neuen SCCs der EU-Kommission.

Transfer Impact Assessment (TIA)

Zusätzlich zu den SCCs muss ein Transfer Impact Assessment durchgeführt werden: Sie müssen bewerten, ob das Recht des Empfängerlandes den Schutz untergräbt und ggf. zusätzliche Maßnahmen ergreifen.

3. Binding Corporate Rules (Art. 47 DSGVO)

Für konzerninterne Übermittlungen können verbindliche interne Datenschutzvorschriften genehmigt werden.

EU-US Data Privacy Framework

Das DPF ersetzt das durch den EuGH gekippte Privacy Shield (Schrems II). Voraussetzungen:

  • Das US-Unternehmen muss beim Department of Commerce zertifiziert sein

  • Sie können die Zertifizierung auf dataprivacyframework.gov prüfen

  • Die Zertifizierung muss aktuell sein


Risiken

Das DPF könnte wie seine Vorgänger vom EuGH gekippt werden (Schrems III). Es empfiehlt sich, zusätzlich SCCs abzuschließen als Rückfallposition.

Praktische Tipps

  • Prüfen Sie, welche Ihrer Dienstleister Daten in Drittländer übermitteln
  • Dokumentieren Sie den Transfermechanismus für jeden Fall
  • Schließen Sie aktuelle SCCs ab und führen Sie ein TIA durch
  • Prüfen Sie regelmäßig die DPF-Zertifizierung Ihrer US-Anbieter

Vertrag prüfen lassen

Lassen Sie Ihren AVV auf Drittlandtransfer-Regelungen prüfen. Jetzt hochladen.

Vertrag prüfen lassen?

Laden Sie Ihren Vertrag hoch und erhalten Sie in Sekunden eine KI-gestützte Analyse mit Risikobewertung.

Jetzt Vertrag prüfen