{"id":237580,"date":"2023-07-12T18:44:00","date_gmt":"2023-07-12T16:44:00","guid":{"rendered":"https:\/\/devowl.io\/?p=237580"},"modified":"2024-09-12T11:44:10","modified_gmt":"2024-09-12T09:44:10","slug":"tadpf-us-data-processing","status":"publish","type":"blog","link":"https:\/\/devowl.io\/de\/datenschutz\/tadpf-us-datenverarbeitung\/","title":{"rendered":"US-Datenverarbeitung wieder erlaubt: Trans-Atlantic Data Privacy Framework schafft rechtliche Grundlage"},"content":{"rendered":"

Das Trans-Atlantic Data Privacy Framework (TADPF) schafft nach Jahren der Unsicherheit eine neue rechtliche Grundlage f\u00fcr die Datenverarbeitung in den USA. Daher hat die Europ\u00e4ische Kommission am 10. Juli 2023 einen Angemessenheitsbeschluss zur US-Datenverarbeitung gefasst, die ein hinreichendes Datenschutzniveau im Sinne der DSGVO bescheinigt.<\/p>\n

In diesem Artikel werden wir uns anschauen, wie sich die Rechtslage konkret ver\u00e4ndert hat, welche Vorteile das f\u00fcr Website-Besucher mit sich bringt und was Website-Betreiber unbedingt beachten m\u00fcssen. Denn neben der Kritik am Trans-Atlantic Data Privacy Framework gibt es eine knifflige H\u00fcrde f\u00fcr Website-Betreiber, um US-Services wieder sicher einzubinden. Wir erkl\u00e4ren dir auch, wie du diese H\u00fcrde ganz einfach mit Real Cookie Banner f\u00fcr WordPress meistern werden kannst!<\/p>\n<\/div><\/div>

<\/i><\/div>

Wir m\u00fcssen darauf hinweisen, dass die folgenden Aussagen keine Rechtsberatung darstellen. Wir k\u00f6nnen dir daher nur Einsch\u00e4tzungen aus unserer intensiven Erfahrung mit den EU-Rechtsvorschriften in der Praxis und eine technische Einsch\u00e4tzung der Situation geben.<\/p>\n<\/div><\/div><\/div>

\n<\/div><\/div>

Was war das Problem mit der US-Datenverarbeitung?<\/h2>\n

Die Datenschutz-Grundverordnung (DSGVO) legt ein sehr hohes Schutzniveau f\u00fcr die Verarbeitung personenbezogener Daten fest und gew\u00e4hrt umfangreiche Rechte f\u00fcr betroffene Personen, wie zum Beispiel Auskunftsrechte, Widerrufsrechte und das Recht auf L\u00f6schung. Das Hauptproblem bei der Datenverarbeitung in den USA bestand in den unterschiedlichen Datenschutzstandards zwischen der EU und den USA. Insbesondere die Befugnisse der US-Beh\u00f6rden, auf personenbezogene Daten von Nicht-US-B\u00fcrgern ohne hinreichenden Rechtsbehelf (einfach gesagt: dagegen vorgehen zu k\u00f6nnen) zuzugreifen, haben zur M\u00f6glichkeit unerw\u00fcnschter \u00dcberwachung und Zugriffe seitens staatlicher Beh\u00f6rden in den USA gef\u00fchrt. Dies war f\u00fcr die EU eines der Probleme, um das Datenschutzniveau der USA als ausreichend zu betrachten.<\/p>\n

Die Europ\u00e4ische Kommission, ein Organ der EU, hatte den USA fr\u00fcher bereits ein angemessenes Datenschutzniveau bescheinigt. Allerdings erkl\u00e4rte der Europ\u00e4ische Gerichtshof (EuGH) im Jahr 2020 mit dem Urteil \"Schrems II\"<\/a> den sogenannten Angemessenheitsbeschluss zwischen der EU und den USA, das \"EU-US Privacy Shield\", f\u00fcr ung\u00fcltig (ebenso wie zuvor das \"Safe Harbor\"-Abkommen<\/a>). Kurz gesagt, sah der EuGH im Gegensatz zur Europ\u00e4ischen Kommission keinen ausreichenden Schutz personenbezogener Daten von EU-B\u00fcrgern in den USA.<\/p>\n

Seit diesem Urteil ist es f\u00fcr Website-Betreiber als datenschutzrechtlich Verantwortliche deutlich komplizierter geworden, eine datenschutzkonforme Datenverarbeitung in den USA durchzuf\u00fchren. Es sind nicht nur Auftragsverarbeitungsvertr\u00e4ge erforderlich, sondern auch Standardvertragsklauseln und weitere Ma\u00dfnahmen, um \u00fcberhaupt eine Datenverarbeitung in den USA zu erm\u00f6glichen.<\/p>\n

Wenn die Standardvertragsklauseln<\/a> nicht funktionierten (oder Website-Betreiber weiter auf Nummer sicher gehen wollten), musste die Datenverarbeitung h\u00e4ufig auf Art. 49 DSGVO<\/a> gest\u00fctzt werden. Dieser Artikel beschreibt die Bedingungen f\u00fcr die \u00dcbermittlung personenbezogener Daten in Drittl\u00e4nder au\u00dferhalb der EU oder des EWR, wenn f\u00fcr dieses Land kein Angemessenheitsbeschluss vorliegt. Eine spezielle Einwilligung zur Datenverarbeitung auf deiner Website gem\u00e4\u00df Art. 49 DSGVO ist jedoch nur eine Ausnahme, die unter bestimmten Umst\u00e4nden genutzt werden kann. Praktisch hattest du einen langen Text zur US-Datenverarbeitung in deinem Cookie Banner:<\/p>\n

\n

Einige Services verarbeiten personenbezogene Daten in den USA. Indem du der Nutzung dieser Services zustimmst, erkl\u00e4rst du dich auch mit der Verarbeitung deiner Daten in den USA gem\u00e4\u00df Art. 49 (1) lit. a DSGVO einverstanden. Die USA werden vom EuGH als ein Land mit einem unzureichenden Datenschutzniveau nach EU-Standards angesehen. Insbesondere besteht das Risiko, dass deine Daten von US-Beh\u00f6rden zu Kontroll- und \u00dcberwachungszwecken verarbeitet werden, unter Umst\u00e4nden ohne die M\u00f6glichkeit eines Rechtsbehelfs.<\/p>\n<\/blockquote>\n

F\u00fcr Website-Betreiber ist es praktisch kaum m\u00f6glich, auf Dienste von US-Konzernen wie Google, Facebook, Microsoft und Co. zu verzichten, ohne sich erheblich einzuschr\u00e4nken. Eine wirklich sichere Datenverarbeitung hatte jedoch viele Fallstricke, wie das Urteil gegen den Einsatz von Google Fonts<\/a> oder der Amtsbescheid gegen Google Analytics in \u00d6sterreich<\/a> deutlich gemacht haben. Eine Website rechtssicher zu betreiben war daher kein Kinderspiel mehr!<\/p>\n

Trans-Atlantic Data Privacy Framework schafft neue rechtliche Grundlage f\u00fcr US-Datenverarbeitung<\/h2>\n

Am 10. Juli 2023 war es endlich so weit: Die Pr\u00e4sidentin der Europ\u00e4ischen Kommission, Ursula von der Leyen, verk\u00fcndete \u00fcber Twitter<\/a>, dass der Angemessenheitsbeschluss f\u00fcr das Trans-Atlantic Data Privacy Framework beschlossen worden ist. Ein langer Name f\u00fcr eine Vereinbarung \u2013 weder ein Gesetz noch eine beh\u00f6rdliche Anordnung \u2013 zwischen der EU-Kommission und dem US-Handelsministerium. In dieser Vereinbarung verpflichteten sich die USA, ihr Datenschutzniveau zu verbessern, w\u00e4hrend die EU-Kommission im Gegenzug einen Angemessenheitsbeschluss f\u00fcr die \u00dcbertragung und Verarbeitung von Daten in den USA erl\u00e4sst.<\/p>\n<\/div><\/div>

\"Ursula<\/a><\/div>

Ein wesentlicher Aspekt des neuen Angemessenheitsbeschlusses besteht in der Schaffung eines st\u00e4rkeren rechtlichen Rahmens f\u00fcr den Datenverkehr zwischen der EU und den USA (Englisch)<\/a>. Die Vereinbarung baut auf dem bestehenden Rahmenwerk des \"EU-US Privacy Shield\" auf, das 2020 vom Europ\u00e4ischen Gerichtshof aufgrund von Bedenken hinsichtlich der \u00dcberwachungspraktiken der USA f\u00fcr ung\u00fcltig erkl\u00e4rt wurde. Obwohl der neue Angemessenheitsbeschluss strengere Sicherheitsma\u00dfnahmen und verbesserte Transparenz vorsieht, gibt es weiterhin viel Kritik dar\u00fcber, ob diese Ma\u00dfnahmen ausreichen, um einen angemessenen Schutz der Privatsph\u00e4re zu gew\u00e4hrleisten. Insbesondere Noyb, die Organisation des \u00f6sterreichischen Juristen Max Schrems, der bereits die beiden vorherigen Angemessenheitsbeschl\u00fcsse vor den EuGH gebracht hat, \u00e4u\u00dfert harsche Kritik<\/a>. Au\u00dferdem plant noyb bereits rechtliche Schritte gegen den Angemessenheitsbeschluss<\/a>.<\/p>\n

Dennoch d\u00fcrfte dieser Angemessenheitsbeschluss vorerst einige Jahre Ruhe in die Diskussion um die Datenverarbeitung in den USA bringen wird. Organisationen wie Noyb werden Zeit ben\u00f6tigen, um rechtliche Wege zu beschreiten und den neuen Angemessenheitsbeschluss von dem EuGH erneut \u00fcberpr\u00fcfen zu lassen. Als Website-Betreiber hast du also etwas Ruhe, um durchzuatmen!<\/p>\n

Die genaue Bewertung des neuen Angemessenheitsbeschlusses durch den EuGH k\u00f6nnten Auswirkungen auf die Zukunft des Datenverkehrs zwischen der EU und den USA haben. Trotz der berechtigten Kritikpunkte erm\u00f6glicht der Angemessenheitsbeschluss einen erleichterten Datenverkehr in die USA und f\u00f6rdert dadurch die wirtschaftliche Zusammenarbeit. Du als Website-Betreiber kannst von der Vereinfachung der Daten\u00fcbertragungsprozesse stark profitieren, da du nun nicht mehr auf alternative rechtliche Mechanismen wie Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften zur\u00fcckgreifen musst. Dies reduziert den Aufwand und verringert administrative Komplexit\u00e4ten, was zu einer effizienteren Zusammenarbeit f\u00fchrt. Zumindest in der Theorie, wie wir im Folgenden sehen werden.<\/p>\n

Worauf m\u00fcssen Website-Betreiber zuk\u00fcnftig bei der Datenverarbeitung in den USA achten?<\/h2>\n

Auch in Zukunft musst du einen Auftragsverarbeitungsvertrag mit dem Unternehmen abschlie\u00dfen, das deine Daten verarbeitet. Das gilt genauso wie f\u00fcr Unternehmen aus anderen sicheren oder unsicheren L\u00e4ndern im Sinne der DSGVO. Aber der lange Text zur US-Datenverarbeitung in deinem Cookie Banner kann<\/strong> entfallen.<\/p>\n

Allerdings gibt es einen kniffligen Teil f\u00fcr dich als Website-Betreiber: Der Angemessenheitsbeschluss der Europ\u00e4ischen Kommission f\u00fcr die USA, basierend auf dem Trans-Atlantic Data Privacy Framework, betrachtet die Datenverarbeitung in den USA nicht generell als sicher<\/strong>. Stattdessen haben US-Unternehmen nun die M\u00f6glichkeit, sich selbst gem\u00e4\u00df dem Trans-Atlantic Data Privacy Framework und den europ\u00e4ischen Datenschutzgrunds\u00e4tzen zu verpflichten und zu zertifizieren. Eine Liste aller zertifizierten US-Unternehmen findest du seit dem 17. Juli 2023 auf dataprivacyframework.gov<\/a>, bereitgestellt von dem US-Handelsministerium. Zuk\u00fcnftig gelten nur Datenverarbeitungen in den USA durch zertifizierte Unternehmen als sicher.<\/strong> Alle anderen US-Datenverarbeitungen bleiben unsicher, es sei denn, die Anbieter treffen andere geeignete Schutzma\u00dfnahmen wie die bereits bekannten Standardvertragsklauseln.<\/p>\n

Praktisch bedeutet dies, dass du f\u00fcr die meisten US-Services keine Einwilligung nach Art. 49 DSGVO mehr in deinem Cookie Banner einholen musst oder solltest. Der lange Textbaustein zur US-Datenverarbeitung in deinem Cookie Banner kann dann entfallen (wenn keine Datenverarbeitung in anderen unsicheren Drittl\u00e4ndern stattfindet).<\/p>\n

Was du wo in Real Cookie Banner angeben musst!<\/h2>\n

Wir haben bereits mit Real Cookie Banner 3.8.0 die M\u00f6glichkeit geschaffen, anzugeben, in welchen L\u00e4ndern die Datenverarbeitung stattfindet und welche als sicher gelten. Nach der Verabschiedung des Angemessenheitsbeschlusses am 10. Juli 2023 haben wir dir in Real Cookie Banner 3.9.0 die M\u00f6glichkeit geschafft, festzulegen, dass ein Service f\u00fcr die sichere Datenverarbeitung in den USA nach dem neuen TADPF zertifiziert ist. Au\u00dferdem kannst du jetzt alternativ die Datenverarbeitung mit Standardvertragsklauseln legitimieren.<\/p>\n

Gehe in deinem WordPress-Backend zu Cookies > Services (Cookies)<\/em> und bearbeite einen bestehenden Service oder erstelle einen neuen. Wenn im Feld \"L\u00e4nder der Datenverarbeitung\" die Vereinigten Staaten angegeben sind, wird direkt darunter der neue Abschnitt \"Sonderbehandlung f\u00fcr unsichere L\u00e4nder\" angezeigt.<\/p>\n<\/div><\/div>

\"US-Datenverarbeitung<\/a><\/div>

Um die Checkbox \"Anbieter ist nach dem Trans-Atlantic Data Privacy Framework f\u00fcr die sichere Datenverarbeitung in den USA selbstzertifiziert\" ankreuzen zu k\u00f6nnen, musst du auf der Website dataprivacyframework.gov<\/a> \u00fcberpr\u00fcfen, ob der Anbieter des von dir genutzten Services nach dem TADPF selbstzertifiziert ist.<\/p>\n

Alternativ kannst du die Checkbox \"Ich habe Standardvertragsklauseln mit dem Anbieter abgeschlossen\" ankreuzen, wenn du einen Vertrag mit dem Anbieter hast, dessen Service du in deine Website eingebunden hast. \u00dcberpr\u00fcfe diesen Vertrag, um zu sehen, ob du die sogenannten Standardvertragsklauseln<\/a> darin findest. Das ist ein von der EU vorgeschriebener Vertragsbestandteil, der dir versichert, dass die Datenverarbeitung sicher im Sinne der DSGVO durchgef\u00fchrt wird, egal wo auf der Welt.<\/p>\n

Wenn du eines der beiden Checkboxen setzen kannst, wird die Einwilligung nach Art. 49 DSGVO f\u00fcr die US-Datenverarbeitung in deinem Cookie Banner nicht mehr eingeholt, da du sie nicht mehr ben\u00f6tigst.<\/p>\n

In K\u00fcrze werden wir die entsprechenden typischen Informationen auch in alle Service-Vorlagen in Real Cookie Banner aufnehmen.<\/p>\n

Fazit: US-Services wieder nutzbar, aber mit zus\u00e4tzlichem Aufwand f\u00fcr Website-Betreiber<\/h2>\n

In summary, the EU’s new adequacy decision for the US represents an important step in strengthening data protection and transatlantic data flows. The increased data protection standards and improved legal framework should ensure that the personal data of EU citizens is adequately protected. However, justified criticisms remain, and it remains to be seen how the ECJ will react to a lawsuit filed by Max Schrems.<\/p>\n

Als Website-Betreiber musst du im Einwilligungsdialog (Cookie-Banner) weitere Angaben machen, da der Angemessenheitsbeschluss nicht die ganzen USA, sondern nur Datenverarbeitungen zertifizierter Unternehmen als sicher erkl\u00e4rt. Dadurch kannst du die allermeisten relevanten US-Services wieder rechtssicher auf deiner Website einbinden.<\/p>\n

Sobald sich alle, f\u00fcr dich relevanten, US-Services nach dem Trans-Atlantic Data Privacy Framework selbst zertifiziert haben, wird auch ein gro\u00dfer Textblock in Cookie Bannern entfallen k\u00f6nnen. Dadurch wird die Transparenz auf deiner Website gest\u00e4rkt und Website-Besucher k\u00f6nnen einfachere Entscheidungen dar\u00fcber treffen, welchen Datenverarbeitungen sie zustimmen m\u00f6chten und welchen nicht.<\/p>\n<\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/section>","protected":false},"author":15,"featured_media":237654,"template":"","meta":{"_acf_changed":false,"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","inline_featured_image":false,"restrictTranslations":["en_US","de_DE"],"footnotes":""},"class_list":["post-237580","blog","type-blog","status-publish","has-post-thumbnail","hentry","content-cluster-data-protection"],"acf":[],"_links":{"self":[{"href":"https:\/\/devowl.io\/de\/wp-json\/wp\/v2\/blog\/237580","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/devowl.io\/de\/wp-json\/wp\/v2\/blog"}],"about":[{"href":"https:\/\/devowl.io\/de\/wp-json\/wp\/v2\/types\/blog"}],"author":[{"embeddable":true,"href":"https:\/\/devowl.io\/de\/wp-json\/wp\/v2\/users\/15"}],"version-history":[{"count":28,"href":"https:\/\/devowl.io\/de\/wp-json\/wp\/v2\/blog\/237580\/revisions"}],"predecessor-version":[{"id":237692,"href":"https:\/\/devowl.io\/de\/wp-json\/wp\/v2\/blog\/237580\/revisions\/237692"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/devowl.io\/de\/wp-json\/wp\/v2\/media\/237654"}],"wp:attachment":[{"href":"https:\/\/devowl.io\/de\/wp-json\/wp\/v2\/media?parent=237580"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}