Zu diesem Beitrag gibt es ein Update: Microsoft 365, KI und Compliance 2025
Der Datentransfer in die USA steht auf einer neuen rechtlichen Grundlage. Am 10. Juli 2023 hat die Europäische Kommission einen Angemessenheitsbeschluss für das „EU-US Data Privacy Framework“ (DPF) verabschiedet. Für KMU bedeutet dies eine signifikante Veränderung im Umgang mit US-Dienstleistern. Doch das DPF ist kein Freifahrtschein. Wir zeigen Ihnen, was jetzt klar ist, welche Risiken bleiben und wie Sie als Verantwortlicher handeln müssen.
Was der neue Beschluss für Sie bedeutet
Neue Rechtsgrundlage
Personenbezogene Daten dürfen an US-Organisationen übermittelt werden, sofern diese nach dem DPF zertifiziert sind.
Keine SCCs (theoretisch)
Für Transfers an zertifizierte Partner sind automatisch keine zusätzlichen Instrumente wie Standardvertragsklauseln (SCCs) mehr nötig.
Kritische Risiken und verbleibende Pflichten
Aufsichtsbehörden, wie der Thüringer Landesbeauftragte (TLfDI), warnen: Nicht alle datenschutzrechtlichen Risiken sind beseitigt. Die DPF-Zertifizierung allein entbindet Sie nicht von Ihrer Verantwortung als Geschäftsführer.
Transparenzfragen
Bei Anbietern wie Microsoft bleibt unklar, welche Daten „zu eigenen Zwecken“ verarbeitet werden. Eine eigene Risikoabschätzung bleibt Pflicht.
DSGVO Art. 5 ff. gilt weiter
Sie müssen die Verarbeitung weiterhin rechtfertigen, dokumentieren und sicherstellen, dass der Anbieter ausreichende TOMs (Technische und Organisatorische Maßnahmen) trifft.
Konkrete Handlungsempfehlungen für Ihr KMU
1. Zertifizierung prüfen
Prüfen Sie vor der Nutzung, ob der US-Dienstleister auf der offiziellen DPF-Liste des US Department of Commerce geführt wird.
2. Risikoabschätzung
Führen Sie auch bei Zertifizierung eine eigene Risikobewertung durch. Geht es um sensible Daten? Wie ist der Umfang der Übermittlung?
3. Dokumentation
Dokumentieren Sie Ihre Entscheidung im Datenschutzmanagementsystem (DMS). Warum dieser Anbieter? Welche Maßnahmen wurden getroffen?
4. Ergänzende Maßnahmen
Erwägen Sie bei Zweifeln zusätzliche Schutzmaßnahmen: Datenminimierung, Pseudonymisierung oder (trotz DPF) den Abschluss von SCCs.
Die Navigation durch die Feinheiten des internationalen Datentransfers bleibt komplex. Als Ihr externer Datenschutzbeauftragter unterstützen wir Sie dabei, die neuen Möglichkeiten rechtssicher zu nutzen und Risiken proaktiv zu managen.
JETZT kostenloses Erstgespräch vereinbaren
