Data Protection Academy » Data Protection News » EU-US Data Privacy Framework

The new agreement with the USA: the EU-U.S. Data Privacy Framework

Version as of July 2023

The EU-US Data Privacy Framework

Im Juli 2023 ist das EU-US Data Privacy Framework (EU-US DPF) zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA) in Kraft getreten. Das Datenschutzabkommen wurde im Jahr 2022 vereinbart und ersetzt das Privacy Shield, das im Jahr 2020 vom Europäischen Gerichtshof für ungültig erklärt wurde. Das EU-US DPF soll sicherstellen, dass die Daten von EU-Bürgern, die in die USA übertragen werden, weiterhin den hohen Datenschutzstandards der EU unterliegen. Im folgenden Beitrag erfahren Sie, was Unternehmen jetzt beachten und erledigen müssen. Außerdem erhalten Sie Antworten auf die häufigsten Fragen zum EU-US Data Privacy Framework.

Wichtigste Informationen über die EU Standardvertragsklauseln

  • On 10 July 2023 the EU-US Privacy Data Framework came into force.
  • This is a Data protection agreement zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA).
  • The EU-U.S. Data Privacy Framework is the third attempt the EU Commission, after Safe Harbor and EU-U.S. Privacy Shield, the Transfer of personal data to the USA ohne zusätzliche Garantien zu ermöglichen.
  • After the so-called "Schrems II" ruling of the ECJ in 2020, companies lacked the Rechtsgrundlage zur Übermittlung personenbezogener Date in die USA. This legal basis is provided by the EU-U.S. Privacy Data Framework.
  • Der neue Angemessenheitsbeschluss ist Datenschützern allerdings nicht wirkungsvoll genug. Eine Renewed complaint by data protection activist Max Schrems und sein NGO none of your business (noyb) ist bereits angekündigt.

Content on the subject of EU Standard Contractual Clauses:

Follow a manual added link

Der aktuelle Angemessenheitsbeschluss zum EU-US Data Privacy Framework ist hier verlinkt, ist aber aktuell nur auf Englisch verfügbar.

Current Status and Emergence of the EU-US Data Privacy Framework

Das EU-U.S. Data Privacy Framework (EU-U.S. DPF) ist ein neues Datenschutzabkommen zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA). Es wurde am 25. März 2022 angekündigt und am 10 July 2023 von der Europäischen Kommission angenommen und in Kraft gesetzt.

Here are some of the most important events that led to the Development of the EU-U.S. DPF geführt haben:

  • July 2023: Der Angemessenheitsbeschluss und somit das EU-U.S. Data Privacy Framework wird von der Europäischen Kommission angenommen und in Kraft gesetzt.
  • December 2022: Die Europäische Kommission legt, basierend auf der Executive Order, einen Entwurf für einen Angemessenheitsbeschluss nach Article 45 GDPR before.
  • October 2022: Issuance of a Executive Order durch den Präsidenten der USA.
  • März 2022: Die Europäische Kommission und die US-Regierung einigen sich auf das „EU-U.S. Data Privacy Framework“.
  • 2021: Die EU und die USA beginnen mit Verhandlungen über ein neues Datenschutzabkommen.
  • 2020: Der Europäische Gerichtshof (EuGH) erklärt das Privacy Shield Abkommen für ungültig. Der EuGH begründet seine Entscheidung mit der Tatsache, dass das Abkommen keinen wirksamen Schutz der Daten von EU-Bürgern vor dem Zugriff von US-Geheimdiensten bietet.
  • 2016: Die Europäische Union (EU) und die Vereinigten Staaten (USA) unterzeichnen das Privacy Shield Abkommen. Das Abkommen soll den Datenverkehr zwischen der EU und den USA ermöglichen, ohne die Datenschutzrechte von EU-Bürgern zu beeinträchtigen.
  • 2015: Der Europäische Gerichtshof erklärt Safe Harbor für ungültig. Der EuGH kam zu dem Schluss, dass der Safe Harbor-Rahmen nicht ausreichte, um die Rechte von EU-Bürgern bei der Verarbeitung ihrer Daten in den USA zu schützen.
  • 2020: Das Safe Harbor Abkommen wird von der EU-Kommission genehmigt und basierte auf den Grundsätzen des Datenschutzes der EU.

Whitepaper EU-U.S. Data Privacy Framework

Whitepaper: EU-U.S. Data Privacy Framework

In the whitepaper EU-U.S. Data Privacy Framework you will find:

  • Information on the Entstehung und zu Hintergründen of the EU-U.S. DPF
  • Detailed Contents, advantages and criticism on the adequacy decision
  • Tips  for practical application of the EU-U.S. Data Privacy Framework

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

Background on the EU-US Data Privacy Framework

Schrems II and the EU-US Data Privacy Framework

Das EU-US Data Privacy Framework ist eine Reaktion auf das Urteil des Europäischen Gerichtshofs (EuGH) im Fall Schrems II. In diesem Urteil hat der EuGH das EU-US Privacy Shield, ein Abkommen zum Schutz personenbezogener Daten bei der Übertragung von Daten zwischen der EU und den USA, für ungültig erklärt. Der Grund für die Ungültigkeit des Privacy Shields war, dass es No sufficient guarantees für den Schutz der Daten von EU-Bürgern vor dem Zugriff von US-Geheimdiensten bot.

Das neue Datenschutzabkommen soll die Lücken schließen, die im Privacy Shield zu Tage getreten sind, deswegen wird das EU-US Data Privacy Framework auch als „Privacy Shield 2.0“ bezeichnet. Das Privacy Shield 2.0 enthält eine Reihe von neuen Bestimmungen, die den Schutz der Daten von EU-Bürgern in den USA sicherstellen sollen. Dazu gehören die Beschränkung des Zugriffs von US-Geheimdiensten auf EU-Daten, die Schaffung eines unabhängigen Beschwerdemechanismus und die Verpflichtung von US-Unternehmen, die Daten von EU-Bürgern gemäß der Datenschutzstandards der EU zu behandeln.

Executive Order on the EU-US Data Privacy Framework

The Executive Order on the EU-US Data Privacy Framework wurde am 7. Oktober 2022 von Präsident Joe Biden unterzeichnet. Eine Executive Order (EO) ist ein Rechtsakt, der vom Präsidenten der Vereinigten Staaten erlassen wird. EOs werden verwendet, um die Bundesverwaltung zu leiten und zu regeln, und sie können auch verwendet werden, um neue Bundespolitik zu schaffen. EOs haben jedoch nicht die gleiche Autorität wie Gesetze, die vom Kongress verabschiedet werden, und sie können vom Obersten Gerichtshof angefochten werden.

The EO on the EU-US Data Privacy Framework has two main objectives:

  • Sie soll die transatlantischen Datenströme wiederherstellen, die durch das Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2020 unterbrochen wurden.
  • Sie soll neue Sicherheitsvorkehrungen für die Verarbeitung personenbezogener Daten von EU-Bürgern durch US-Dienstleister schaffen.

Here is the link to the Executive Order (English)

Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA

The Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA ist ein Rechtsakt der Europäischen Kommission, der festlegt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, die Unternehmen aus der EU an US-Unternehmen übermitteln.

A Angemessenheitsbeschluss ist ein Rechtsakt der Europäischen Kommission, der besagt, dass ein Drittland (ein Land außerhalb der Europäischen Union) ein angemessenes Datenschutzniveau für die Verarbeitung personenbezogener Daten von EU-Bürgern bietet. Die Europäische Kommission erlässt einen Angemessenheitsbeschluss auf der Grundlage einer Reihe von Faktoren, einschließlich der Rechtsvorschriften des Drittlandes, der Praktiken der Datenverarbeiter und der Überwachungsmechanismen des Drittlandes.

Wenn die Europäische Kommission einen Angemessenheitsbeschluss erlässt, bedeutet dies, dass die Verarbeitung personenbezogener Daten von EU-Bürgern in diesem Drittland ohne zusätzliche Schutzmaßnahmen zulässig ist. Wenn die Europäische Kommission keinen Angemessenheitsbeschluss erlässt, müssen Unternehmen, die personenbezogene Daten von EU-Bürgern in dieses Drittland übermitteln, weitere geeignete Schutzmaßnahme (wie Standardvertragsklauseln) prüfen. Wenn keine der angemessenen Garantien anwendbar ist, ist eine Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation nur unter besonderen Umständen zulässig, die eine Ausnahme rechtfertigen.

Hier ist der Link zum Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA der Europäischen Kommision.

Contents of the EU-US Data Privacy Framework

Das EU-US Data Privacy Framework ist ein Nachfolger des Privacy Shield-Abkommens, das vom Europäischen Gerichtshof (EuGH) im Juli 2020 für ungültig erklärt wurde. Das EUDPRF basiert auf den gleichen Grundprinzipien wie das Privacy Shield-Abkommen, bietet jedoch auch zusätzliche Schutzmechanismen für EU-Bürger.

Aim of the EU-US Data Privacy Framework

The objective of the EU-US Data Privacy Framework (EU-US DPF) is to transatlantischen Datentransfer zu ermöglichen, indem es ein hohes Maß an Datenschutz für die personenbezogenen Daten von EU-Bürgern gewährleistet. Das Framework basiert auf den Grundsätzen der Rechtmäßigkeit, Fairness und Transparenz, der Zweckbindung und Datenminimierung, der Datengenauigkeit und Speicherbegrenzung, der Integrität und Vertraulichkeit sowie der Rechte der betroffenen Person.

Das Abkommen enthält auch einen zweistufigen Rechtsschutzmechanismus, der es den betroffenen Personen ermöglicht, gegen Rechtsverstöße bei der Überwachung durch US-Geheimdienste zu klagen.

Regulations of the EU-US Data Privacy Framework

Das EU-US Data Privacy Framework (EU-US DPF) enthält eine Reihe von Regelungen, die den transatlantischen Datentransfer regeln. Die wichtigsten Regelungen sind:

  • Basic principles: Das EU-US DPF basiert auf den Grundsätzen der Rechtmäßigkeit, Fairness und Transparenz, der Zweckbindung und Datenminimierung, der Datengenauigkeit und Speicherbegrenzung, der Integrität und Vertraulichkeit sowie der Rechte der betroffenen Person.
  • Legal protection mechanism: Das EU-US DPF enthält einen zweistufigen Rechtsschutzmechanismus, der es den betroffenen Personen ermöglicht, gegen Rechtsverstöße bei der Überwachung durch US-Geheimdienste zu klagen.
  • Aufsichtsbehörden: Das EU-US DPF sieht die Einrichtung von zwei Aufsichtsbehörden vor, die für die Überwachung der Einhaltung des Rahmenwerks zuständig sind. Eine Aufsichtsbehörde wird von der EU und die andere von den USA eingerichtet.
  • Überwachung: Das EU-US DPF sieht vor, dass die Aufsichtsbehörden die Einhaltung des Rahmenwerks durch Unternehmen überwachen. Die Aufsichtsbehörden können auch Sanktionen gegen Unternehmen verhängen, die das Rahmenwerk nicht einhalten.

Basic Principles of the EU-US Data Privacy Framework

The EU-US Data Privacy Framework is based on the following fundamental principles:

  • Auf der Grundlage des neuen Frameworks können Daten frei und sicher zwischen der EU und teilnehmenden US-Unternehmen fließen.
  • Implementierung eines neuen Regelwerks und verbindlicher Schutzmaßnahmen, um den Zugriff der US-Geheimdienste auf Daten auf ein Maß zu beschränken, das zum Schutz der nationalen Sicherheit erforderlich und verhältnismäßig ist; US-Geheimdienste werden Verfahren einführen, um eine wirksame Überwachung neuer Standards im Datenschutz und der bürgerlichen Freiheit sicherzustellen
  • Ein neues zweistufiges Rechtsbehelfssystem zur Untersuchung und Lösung von Beschwerden von Europäern über den Zugriff von US-Geheimdiensten auf Daten, einschließlich eines Datenschutzprüfungsgerichts
  • Strenge Verpflichtungen für Unternehmen, die aus der EU übermittelte Daten verarbeiten, einschließlich der Anforderung einer Selbstzertifizierung zur Einhaltung der Standards, über das US Department of Commerce
  • Spezifischen Überwachungs- und Überprüfungsmechanismen

Two-tier redress mechanism of the EU-US DPF

Das EU-US Data Privacy Framework enthält einen zweistufigen Rechtsschutzmechanismus, der es den betroffenen Personen ermöglicht, gegen Rechtsverstöße bei der Überwachung durch US-Geheimdienste zu klagen.

In the first step werden Beschwerden vom sogenannten „Civil Liberties Protection Officer“ des US-Geheimdienstes untersucht. Diese Person ist dafür verantwortlich, dass die US-Geheimdienste die Privatsphäre und die Grundrechte einhalten.

In the second step haben Betroffene die Möglichkeit, gegen die Entscheidung des „Civil Liberties Protection Officer“ vor dem neu geschaffenen „Data Protection Review Court“ (DPRC) Berufung einzulegen. Dieses Gericht besteht aus Mitgliedern außerhalb der US-Regierung, diese sind befugt, Beschwerden von EU-Bürgern zu untersuchen, einschließlich der Einholung relevanter Informationen von Geheimdiensten und kann verbindliche Abhilfeentscheidungen treffen. Stellt die DPRC beispielsweise fest, dass die Datenerhebung unter Verstoß gegen die in der Executive Order vorgesehenen Schutzmaßnahmen erfolgt ist, kann sie die Löschung der Daten anordnen.

Der zweistufige Rechtsschutzmechanismus des EU-US DPF ist umstritten. Einige Experten kritisieren, dass der Mechanismus zu schwach sei und dass die betroffenen Personen nur schwer gegen Rechtsverstöße vorgehen können. Andere Experten argumentieren, dass der Mechanismus ein wichtiger Schritt zur Stärkung des Datenschutzes für den transatlantischen Datentransfer ist.

Scope of the EU-US DPF and implications for standard contractual clauses and Binding Corporate Rule

Alle von der US-Regierung im Bereich der nationalen Sicherheit eingeführten Schutzmaßnahmen (einschließlich des Rechtsbehelfsmechanismus) gelten für alle Datenübermittlungen im Rahmen der DSGVO an Unternehmen in den USA, unabhängig von den verwendeten Übertragungsmechanismen. Diese Schutzmaßnahmen erleichtern daher auch den Einsatz anderer Instrumente, wie z. B. Standardvertragsklauseln und Binding Corporate Rules. Das bedeutet, dass ein Datentransfer auch an Unternehmen, die nicht über die Liste des U.S. Department of Commerce zertifiziert sind möglich ist, insofern das Unternehmen andere geeignete Garantien umsetzt.

Unternehmen, die den Datenaustausch bspw. auf die Standardvertragsklauseln (engl. Standard Contractual Clauses (SCC)) stützen, können dies weiterhin, müssen aber verpflichtend ein Daten-Transfer-Folgenabschätzung (Transfer Impact Assessment – TIA) durchführen.

Significance of the EU-US Data Privacy Framework

Das EU-US Data Privacy Framework stellt die transatlantischen Datenströme wieder her, die durch das Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2020 unterbrochen wurden. Seit dem gab es für Unternehmen viele Unsicherheiten bei der Übermittlung personenbezogener Daten von EU-Bürgern an US-Dienstleister. Das Framework soll nun den transatlantischen Datentransfer wieder erleichtern und die Rechte von EU-Bürgern bei der Verarbeitung ihrer personenbezogenen Daten in den USA schützen.

Das EU-US DPF ist daher ein wichtiger Schritt zur Stärkung des Datenschutzes für den transatlantischen Datentransfer. Es bleibt allerdings abzuwarten, ob das Framework von den Gerichten akzeptiert wird.

According to Press release der Europäischen Kommission sollen mit dem Framework der transatlantische Datenverkehr gefördert und die vom Gerichtshof der Europäischen Union im Schrems-II-Urteil vom Juli 2020 geäußerten Bedenken ausgeräumt werden. Der neue Rahmen, stellt laut Aussage der Europäischen Kommission, eine „bisher einmalige Selbstverpflichtung der USA zu Reformen dar, die den Schutz der Privatsphäre und der bürgerlichen Freiheiten bei der signalerfassenden Aufklärung durch die USA stärken werden“.

What are the advantages of the EU-US DPF?

The advantages of the EU-US DPF are:

  • It offers a adequate protection der in die USA übertragenen Daten von Europäern, unter Berücksichtigung des Urteils von der Europäische Gerichtshof (Schrems II).
  • It facilitates the Transatlantic data transfer und sorgt für sichere Datenflüsse.
  • It shall Rechtssicherheit für Unternehmen schaffen, die personenbezogene Daten von EU-Bürgern in die USA übertragen durch eine dauerhafte und verlässliche Rechtsgrundlage.
  • It stärkt das Vertrauen between the EU and the US on data protection.
  • Es ermöglicht einen continuous data flow, der jedes Jahr den grenzüberschreitenden Handel im Wert von 900 Milliarden Euro unterstützt.
  • Es fördert die wettbewerbsfähige digitale Wirtschaft and the economic cooperation.

Criticism of the EU-US DPF?

Das EU-US DPF ist zwar ein wichtiger Schritt zur Stärkung des transatlantischen Datentransfer, es steht allerdings auch in der Kritik. Einige Kritikpunkte sind:

  • The two-tier redress mechanism is controversial and it is unclear whether it will be accepted by the courts. Therefore, it is controversial whether the framework is really legally secure.
  • Die US-Geheimdienste haben nach wie vor Befugnisse zur Überwachung von Daten und es ist unklar, ob das Framework diese Befugnisse wirksam einschränken kann. Das EU-US Data Privacy Framework ist vielen Datenschützern nicht wirkungsvoll genug.

Data protection activist Max Schrems calls the EU-US Data Privacy Framework a "copy of the failed Privacy Shield". He and his NGO none of your business (noyb) have already published in a Press release angekündigt, erneut Klage einzureichen.

Practical application of the EU-US Data Privacy Framework

Certified companies from the USA

Das EU-US Data Privacy Framework verfolgt den sektoralen Ansatz. Das bedeutet, dass nur an zertifizierte Unternehmen personenbezogenen Daten übermittelt werden dürfen. Diese Zertifizierung erfolgt durch das U.S. Department of Commerce.

Möchte ein EU-Unternehmen also mit einem Unternehmen aus der USA arbeiten, prüft es zunächst, ob dieses US-Unternehmen zertifiziert ist. Ist dies der Fall, können personenbezogene Daten an diese Unternehmen übermittelt werden, ohne Anwendung zusätzlicher Datenschutzgarantien, wie beispielsweise Standardvertragsklauseln (SCC).

Implement the EU-US Data Privacy Framework in 6 steps

Identifizieren alle US-Dienstleister und Unternehmen die personenbezogene Daten in die USA übertragen.

Überprüfen Sie ob das Unternehmen oder der Dienstleister auf der List of the U.S. Department of Commerce listed and thus certified.

Überprüfen der Subdienstleister des Unternehmens: werden personenbezogene Daten in weiteren Drittländern verarbeitet? Gibt es für diese Angemessenheitsbeschlüsse oder sonstige Garantien?

Ist ein Dienstleister oder Unternehmen nicht zertifiziert, kann man zunächst den Stand der Zertifizierung des Unternehmens anfragen. Ist das Unternehmen nicht bereit eine Zertifizierung durchzuführen, müssen weitere Garantien nach Article 46 GDPR geprüft und implementiert werden.

Die Zertifizierung nach dem EU US Data Privacy Frameworks und die entsprechenden Informationen zum Dienstleister müssen in den Datenschutzhinweisen (Article 13 & Article 14 DSGVO) aktualisiert werden – sowohl in der Datenschutzerklärung als auch im Cookie Banner.

Die Standarvertragsklauseln (SCC)  sind auch nach Inkrafttreten des EU-US Data Privacy Frameworks ein rechtssicheres Instrument zur Datenübermittlung. Mit Hinblick darauf, dass auch gegen das EU-US Data Privacy Frameworks mit hoher Wahrscheinlichkeit eine Klage eingereicht werden wird, sollten Sie bestehende SCCs mit Dienstleister behalten und die Entwicklung zur beständigen Gültigkeit des EU-US Data Privacy Frameworks beobachten.

Video on the EU-U.S. Data Privacy Framework

In the video EU-U.S. Data Privacy Framework you will find:

Im Juli 2023 ist das EU-U.S. Data Privacy Framework (EU-U.S. DPF) zwischen der Europäischen Union und den Vereinigten Staaten in Kraft getreten. Das Datenschutzabkommen wurde im Jahr 2022 vereinbart und ersetzt das Privacy Shield, das im Jahr 2020 vom Europäischen Gerichtshof für ungültig erklärt wurde.

Wie das EU-U.S. Data Privacy Framework entstanden ist, welche Konsequenzen es für Unternehmen in der EU hat und warum Sie Ihre existierenden Standardvertragsklauseln vorerst nicht kündigen sollten, erfahren Sie im Video von Rechtsanwald Richard Bode.

The video is a recording of the Robin Data Hacks from 29 August 2023. The Robin Data Hacks take place online and participation is free of charge. Weitere Informationen, Termine und die Möglichkeit zur Anmeldung.

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

Conclusion and practical recommendation

The EU-US DPF is still relatively new and it is not yet clear how it will be implemented in practice. Currently, the EU-US Data Privacy Framework facilitates data transfers between the EU and the US.

Doch schon jetzt ist zu erwarten, dass auch gegen das EU-US Data Privacy Framework Klage eingereicht werden wird. Es ist also unklar wie lange der neue Angemessenheitsbeschluss bestehen bleibt. Denn inhaltlich gibt es überschaubare Änderungen im Vergleich zum Privacy Shield, sodass ein Urteil vom EuGH diesmal schneller erreicht werden könnte. Zu beachten ist auch, dass selbst zertifizierte US-Unternehmen mit Subdienstleistern in weiteren Drittländern zusammen arbeiten könnten. Unternehmen aus der EU müssen prüfen, ob für diese Subdienstleister Garantien nach Artikel 46 DSGVO vorliegen.

Die SCC sind auch nach Inkrafttreten des EU-US Data Privacy Frameworks ein rechtssicheres Instrument zur Datenübermittlung. Wir empfehlen Ihnen daher bestehende Standarvertragsklauseln (SCC) mit Dienstleistern voerst zu behalten und die Entwicklung zur beständigen Gültigkeit des EU-US Data Privacy Frameworks beobachten.

Weiterführende Links:

Caroline Schwabe
Latest posts by Caroline Schwabe (see all)

Das könnte Sie auch interessieren:

The new EU standard contract clauses

Am 07. Juni 2021 hat die Europäische Kommission die neue Version der EU Standardvertragsklauseln für den internationalen Datentransfer von personenbezogener Daten veröffentlicht.
Read more

Datenübertragung in Länder außerhalb der Europäischen Union (Drittländer)

Werden personenbezogene Daten in Drittländer übertragen, muss die Rechtmäßigkeit dieser Übertragung geprüft und unter Umständen vertraglich geregelt werden.
Read more

How to use the EU-US Privacy Shield

Das Privacy Shield regelt die datenschutzkonforme Übertragung personenbezogener Daten in die Vereinigte Staaten von Amerika (U.S.).
Read more