Datentransferbeschränkungen der USA – Video von Prof. Dr. Lothar Determann

Datenschutz

Die Stiftung Datenschutz hat zusammen mit dem Bitkom einen Vortrag und eine Diskussion mit Prof. Dr. Lothar Determann in Video (-und Audioform) veröffentlicht.

In dem Vortrag und der Diskussion geht es um interessante rechtliche Regelungen in den USA, die auch EU-Unternehmen betreffen können.

Es sind also mittlerweile nicht nur Drittlandstransfers von der EU in die USA Gegenstand rechtlicher Regelungen, sondern auch anders herum.

Hier ist eine kurze Zusammenfassung der Inhalte:

Zusammenfassung

Susanne Dehmel (Bitkom), die die Veranstaltung eröffnete, betonte die langjährige Diskussion über die strengen Regulierungen der DSGVO für Datentransfers in die USA. Der EuGH hat mit den Schrems-Entscheidungen sowohl Safe Harbor als auch das Privacy Shield gekippt, was viele Unternehmen dazu veranlasste, Standardvertragsklauseln abzuschließen und zusätzliche Garantien zu bieten. Derzeit gibt es das EU-U.S. Data Privacy Framework, dessen Zukunft jedoch aufgrund anstehender gerichtlicher Überprüfungen und der politischen Lage in den USA ungewiss bleibt.

Neue US-Regeln und ihre Auswirkungen

Professor Dr. Determann beleuchtete in seinem Vortrag die neuen US-Regeln zum internationalen Datentransfer, die auch europäische Unternehmen betreffen können. Besonders relevant sind hier der kalifornische Consumer Privacy Act und neue Anforderungen zu Datensicherheit und Risikoprüfungen, die ab 2026 gelten werden.

Wichtige Punkte aus dem Vortrag

  1. Neue US-Regeln auf Bundesebene: Es gibt neue US-Regeln auf Bundesebene, die den internationalen Datentransfer betreffen. Diese Regeln sind nicht nur für US-Unternehmen relevant, sondern auch für europäische Unternehmen, die in den USA Daten verarbeiten oder von dort aus Daten transferieren.
  2. Kalifornischer Consumer Privacy Act: Der kalifornische Consumer Privacy Act bringt neue Anforderungen an Datensicherheit und Risikoprüfungen mit sich, die ab 2026 gelten werden. Diese Anforderungen betreffen auch europäische Firmen, die in Kalifornien tätig sind.
  3. Decoupling und Datensicherheit: Ein zentrales Thema ist das “Decoupling”, also die Trennung von Datenflüssen, insbesondere in Bezug auf China.
  4. Neue kalifornische Regelungen zu Cyber Security Audits verlangen, dass europäische Unternehmen, die in Kalifornien Geschäft führen wollen, bestimmte Sicherheitsmaßnahmen einhalten und dokumentieren müssen.
  5. DOJ-Rule und ihre Auswirkungen: Die DOJ-Rule (Department of Justice Rule) zielt darauf ab, den Zugriff auf sensible personenbezogene Daten von Amerikanern durch Länder von besonderer Sorge (Countries of Concern) zu verhindern. Diese Regelung betrifft vor allem US-Unternehmen, die sicherstellen müssen, dass keine Daten an diese Länder weitergegeben werden. Europäische Unternehmen, die mit US-Unternehmen zusammenarbeiten, müssen sich vertraglich verpflichten, diese Regelungen einzuhalten.
  6. Praktische Empfehlungen für Unternehmen: Unternehmen sollten sich auf das “Decoupling” vorbereiten und separate IT-Infrastrukturen für Länder wie China in Betracht ziehen. Es ist ratsam, FAQ-Dokumente zu erstellen, um auf Anfragen von US-Unternehmen vorbereitet zu sein. Die Einhaltung der DOJ-Rule und anderer US-Regelungen sollte dokumentiert werden, um im Falle von Prüfungen oder rechtlichen Auseinandersetzungen vorbereitet zu sein.

Video

Das Video in ganzer Länge findest du bei der Stiftung Datenschutz: Einschränkungen für EU-US-Datentransfers – Nun auch anders herum…

Dehmel, Prof. Dr. Determann & Richter

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-PRO teilzunehmen findest du hier mehr Informationen.