Nachdem das EU-US Privacy Shield im Juli 2020 durch den Europäischen Gerichtshof für unwirksam erklärt wurde und hierdurch eine Vielzahl von Vorgaben hinsichtlich der Übertragung personenbezogener Daten in die USA zu beachten waren, hat die Europäische Kommission nunmehr am 10. Juli 2023 durch die Annahme des Angemessenheitsbeschlusses hinsichtlich des neuen EU-US Data Privacy Frameworks (EU-US DPF) festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten.
Welche Auswirkungen hat das EU-US DPF?
Aufgrund des nun vorliegenden gleichwertigen Schutzniveaus können personenbezogene Daten wieder sicher von der EU in die USA übertragen werden. Voraussetzung hierfür ist lediglich, dass das jeweilige US-Unternehmen unter dem EU-US DPF zertifiziert ist. Eine solche Zertifizierung kann u.a. daran erkannt werden, dass das Unternehmen über die Teilnahme an dem EU-US DPF informiert und einen Link zu dem Vertragswerk bereitstellt.
Es ist dann keine gesonderte Einwilligung des Nutzers hinsichtlich der Datenübertragung in die USA mehr erforderlich. Gleiches gilt für entsprechende Hinweise innerhalb des Cookie-Banners oder der Datenschutzerklärung.
Was muss beachtet werden?
Falls jedoch personenbezogene Daten über das erforderliche Maß hinaus verarbeitet bzw. technisch nicht notwendige Cookies gesetzt werden sollen (technisch nicht notwendig sind Cookies, soweit diese nicht unbedingt erforderlich sind, vgl. § 25 Abs. 2 Nr. 2 TTDSG), ist nach wie vor eine Einwilligung (z.B. im Rahmen eines Cookie-Banners) des jeweiligen Nutzers notwendig.
Im Rahmen dieser Einwilligung muss der Nutzer in klarer und deutlicher Sprache u.a. eingehend über das jeweilige US-Unternehmen sowie die Art der verarbeiteten personenbezogenen Daten sowie den Zweck der Verarbeitung informiert werden (s. Annex I, Section II. 1. EU-US DPF), und zwar bevor das jeweilige Unternehmen die personenbezogenen Daten verarbeitet.
Den Nutzern muss hierbei eine einfache Möglichkeit geboten werden (z.B. durch Opt-Out), zu wählen, ob ihre personenbezogenen Daten an das US-Unternehmen weitergegeben werden sollen, soweit es sich bei dem jeweiligen US-Unternehmen nicht um einen Auftragsverarbeiter des Datenverantwortlichen handelt.
ACHTUNG: Abweichend hiervon ist bei der Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. rassische/ethnische Herkunft, politische Meinung, genetische Daten, biometrische Daten zur eindeutigen Identifizierung) durch ein US-Unternehmen immer eine ausdrückliche Zustimmung des Nutzers (d.h. Opt-in) notwendig.