TIPPS
VIDEOKONFERENZEN UND CO. Wie Unternehmen Daten rechtssicher übertragen
INTER NATIONAL
Die Übermittlung personenbezogener Daten in Länder außerhalb der EU unterliegt strengen Regeln. Bei Verstößen drohen Strafen. Blick in die USA
ließen, mussten genau prüfen, ob ihr amerikanischer Vertragspartner ein Daten- schutzniveau gewährleistete, das dem der EU gleichwertig war. Dafür konnten die Standardvertragsklauseln der EU die Grundlage sein. In der Regel mussten aber noch zusätzliche Vereinbarungen und Vorkehrungen getroffen werden. Konn- te die Gleichwertigkeit nicht hergestellt werden, durften die Daten nicht in die USA übermittelt werden. Damit war auch die Nutzung vieler IT-Standardanwendungen US-amerikanischer Dienstleister recht- lichen Risiken unterworfen. Beim Einsatz solcher Tools mussten Unternehmen lange Zeit mit behördlichen Untersuchungen und Bußgeldern rechnen. Dies hat sich im vergangenen Jahr geän- dert: Am 10. Juli 2023 hat die Europäische Kommission einen Angemessenheitsbe- schluss für das neue Datenschutzabkom- men „EU-US Data Privacy Framework“ angenommen und somit wieder die Grund- lage für einen rechtskonformen Daten- transfer in die USA und die Nutzung von IT-Anwendungen aus den USA geschaffen. Allerdings gilt der Angemessenheitsbe- schluss nur, sofern der US-Datenempfänger auch am Abkommen teilnimmt, also unter dem EU-US Data Privacy Framework beim US Department of Commerce zertifiziert ist. Hierfür müssen sich Datenempfänger im Rahmen einer Selbstzertifizierung registrie- ren. Anschließend ist eine jährliche Rezerti- fizierung erforderlich. Welche Dienstanbie- ter sich bereits zertifiziert haben, kann auf einer eigens dafür eingerichteten Webseite eingesehen werden. Sollte keine Zertifizierung vorliegen, kann es sich im Einzelfall lohnen, den Dienst- anbieter zu kontaktieren. Oftmals nehmen Datenempfänger die Selbstzertifizie-
Videocall mit Geschäftspartnern oder Kunden im Ausland? Vorsicht, wenn hier personenbezogene Daten übermittelt werden.
N achdem der Europäische Gerichtshof (EuGH) das Privacy-Shield-Abkom- men von 2016 im Jahr 2020 gekippt hatte, fehlte lange Zeit ein rechtssicherer Rahmen zur Übermittlung von personen- bezogenen Daten aus der EU in die USA. Ein solcher ist für Unternehmen aber essenziell, wenn sie zum Beispiel ameri- kanische Buchhaltungssoftware, Video- konferenzplattformen oder CRM-Systeme einsetzen, Dienste von US-Cloud-Anbie- tern wie Google, Microsoft und Amazon nutzen oder auf US-Newslettersoftware zurückgreifen. Unternehmen, die ihre Daten in den USA selbst verarbeiteten oder durch einen Dienstleister in den USA verarbeiten