Händlerbund Rechtsdienstleistungen: Rechtliche Sondernewsletter
      Zurück zur Startseite
      1. Service-Bereich
      2. Händlerbund Rechtsdienstleistungen: Rechtliche Sondernewsletter

      [Rechtlicher Sondernewsletter] Angemessenheitsbeschluss der EU-Kommission für Datenübermittlungen in die USA (TADPF)

      Datum: 13.07.2023

      Angemessenheitsbeschluss der EU-Kommission für Datenübermittlungen in die USA: Trans-Atlantic Data Privacy Framework (TADPF) in Kraft getreten.

      Aktualisierung der Datenschutzerklärung erforderlich

      Die EU-Kommission hat am 10.07.2023 einen neuen Angemessenheitsbeschluss für Datenübermittlungen in die USA erlassen, das Trans-Atlantic Data Privacy Framework (kurz TADPF). Was das für Sie bedeutet, erfahren Sie im nachfolgenden Artikel.

      Hintergrund:

      Seit Wegfall des “Privacy Shields” im Sommer 2020 war die Nutzung von Diensten, bei denen Daten von EU-Bürgern in die USA übermittelt und dort verarbeitet werden, kaum datenschutzkonform möglich. Das TADPF bringt nun Abhilfe und schafft die lang ersehnte Rechtssicherheit für Datenübermittlungen in die Vereinigten Staaten. 

      Diese Datenübermittlungen können nun wieder auf einen Angemessenheitsbeschluss der EU-Kommission gestützt werden. Auf dessen Wirksamkeit und Eignung, ein angemessenes Datenschutzniveau für Verarbeitungen zu gewährleisten, dürfen Websitebetreiber vertrauen.

      Inhaltsverzeichnis

      Wer ist betroffen?

      Was ist zu tun?

      a) Schritt 1: Aktualisierung der Datenschutzerklärung

          i) Betroffene Datenschutzklauseln

          ii) Schritte zur Aktualisierung Ihrer Datenschutzerklärung

          iii) Fortlaufende Aktualisierung der Datenschutzerklärung erforderlich

      b) Schritt 2: Aktualisierung bereits geschlossener Auftragsverarbeitungsverträge

      Rechtsgrundlagen für Drittstaatenübermittlungen

      Hilfreiche Links

      Unser Video auf YouTube

      Wer ist betroffen?

      Online-Händler, die eine(n) eigene(n)

      • Online-Shop,
      • Präsentationsseite,
      • Blog oder Forum

      betreiben, müssen Ihre Datenschutzerklärung aktualisieren, wenn darüber Daten der Websitebesucher in die USA übermittelt und dort verarbeitet werden.

      Datenübermittlungen in die USA finden regelmäßig beim Server-Hosting oder durch die Einbindung von Tools und Plug-ins, deren Anbieter ihren Sitz in den USA haben oder die Server in den USA nutzen, statt.

      Hinweis:

      Wir haben für unsere Mitglieder bereits alle betroffenen Klauseln der Datenschutzerklärung aktualisiert und stellen diese ab sofort über den Login-Bereich zur Verfügung. Eine Auflistung der betroffenen Datenschutzklauseln finden Sie unter dem Punkt "Betroffene Datenschutzklauseln".

      Weitere Änderungen ergeben sich für die Datenschutzerklärungen von Social Media Präsenzen, wie z.B.:

      • Facebook, Instagram, TikTok, Pinterest,
      • LinkedIn, Xing, Twitter,
      • Tumblr, YouTube, SoundCloud.

      Online-Händler, die auf diesen Präsenzen vertreten sind, müssen ebenfalls die Datenschutzerklärung austauschen.

      Nicht betroffen sind die Datenschutzerklärungen auf Plattformen wie eBay und Amazon.

      Was ist zu tun?

      Schritt 1: Aktualisierung der Datenschutzerklärung

      Tauschen Sie die Datenschutzerklärungen auf allen betroffenen Internetpräsenzen aus. Befolgen Sie dafür die Anleitung "Schritte zur Aktualisierung Ihrer Datenschutzerklärung".

      Rechtlicher Hintergrund:

      Datenschutzrechtliche Informationspflichten sehen vor, dass bei Übermittlungen personenbezogener Daten in Länder außerhalb der EU Angaben über “das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission” getroffen werden.

      Da seit 2020 kein Angemessenheitsbeschluss für Datenübermittlungen in die USA existierte, enthielt die bereitgestellte Datenschutzerklärung Informationen über das Fehlen eines Angemessenheitsbeschlusses bei Datenweitergaben in die USA. 

      Durch die Unterzeichnung des TADPF durch die EU-Kommission ist nun wieder ein Angemessenheitsbeschluss vorhanden, sodass die Informationen innerhalb der Datenschutzklauseln angepasst werden mussten.

      (Weitere Details finden Sie unter “Rechtsgrundlagen für Drittstaatenübermittlungen”).

      Betroffene Datenschutzklauseln

      Bei Verwendung nachfolgender Tools, Dienste etc.* im eigenen Online-Shop, Blog oder Forum bzw. auf der eigenen Präsentationsseite ist ein Austausch der Datenschutzerklärung erforderlich.

      Server-Hosting
      • Wordpress, WooCommerce
      • wix.com, Ecwid
      Terminbuchungs-Tools
      • Calendly
      • HubSpot

      Newsletter-Dienstleister
      • Mailchimp
      • Klavyio
      • HubSpot
      Analyse-Tools
      • Adobe Analytics, Google (Universal) Analytics, Google Analytics 4
      • Mouseflow, Hotjar, Heatmap
      Werbetracking-Tools
      • Facebook Pixel / Meta Pixel, TikTok Pixel
      • Google Ads Conversion Tracking, Google AdSense, 
      • Google Remarketing, Microsoft Advertising
      • Pinterest Tag, AdButler
      • HubSpot Marketing Hub, LinkedIn Insight-Tag

      Live-Chat-Tools 

      Videokonferenz-Tools 

      sonstige Kommunikationsdienste
      • Chatra, twak.to, Zendesk
      • HubSpot, Tidio, WhatsApp Business
      • Zoom, MS Teams
      Affiliate Programme
      • Amazon Partnerprogramm
      • eBay Partnerprogramm

      Social Plug-ins

      (als Standardeinbindung, Shariff oder 2-Click)
      • AddThis, Facebook (inkl. Facebook Connect), Instagram
      • Twitter, Pinterest, Xing, Soundcloud
      • LinkedIn, Tumblr, TikTok, Twitch
      Karten- und Video-Einbettungen
      • Google Maps, MS Bing Maps
      • YouTube, Vimeo
      Sonstige
      • Google (Invisible) reCaptcha, Cloudflare, Cloudfront
      • Google Fonts, Adobe Fonts, Font Awesome
      • Suchtechnologie Algolia, Google Translate

      *Die Auflistung enthält die Datenschutzklauseln, die wir unseren Mitgliedern über den Login-Bereich zur Verfügung stellen (Stand 13.07.2023) und ist daher nicht abschließend.

      Auf Social Media Präsenzen ist der Austausch der Datenschutzerklärung auf jeden Fall erforderlich.

      Schritte zur Aktualisierung Ihrer Datenschutzerklärung

      • Loggen Sie sich bitte mit Ihren persönlichen Zugangsdaten (E-Mail-Adresse + Passwort) im Login-Bereich ein.
      • Über „Rechtssicherheit“ → „Rechtstexte“ gelangen Sie zu Ihren angelegten Internetpräsenzen.
      • Nach Anklicken des ↓-Symbols für den jeweiligen Shop werden Sie auf die Seite „Rechtstexte herunterladen“ weitergeleitet. Hier können Sie die aktuelle Fassung der “Datenschutzerklärung“ (Datum: 13.07.2023) herunterladen, um diese anschließend auf der jeweiligen Internetpräsenz einzubinden. Bitte führen Sie diesen Punkt für jede angelegte, betroffene Website (Online-Shop, Präsentationsseite ohne Verkauf, Blog, Forum) gesondert durch.

      Hinweis: Sie müssen keine Einstellungen im Rechtstext-Editor vornehmen. Es genügt die Datenschutzerklärung herunterzuladen und auszutauschen. Ihre aktualisierte Datenschutzerklärung erkennen Sie am Datumsstempel mit dem Datum 13.07.2023.

      Fortlaufende Aktualisierung der Datenschutzerklärung erforderlich

      In den nächsten Wochen/Monaten muss die Datenschutzerklärung erneut aktualisiert werden. 

      Grund hierfür ist, dass sich die betroffenen US-Unternehmen / Dienste- und Toolanbieter erst selbst nach dem TADPF zertifizieren müssen, um den Angemessenheitsbeschluss als Rechtsgrundlage für die Datenübermittlung nutzen zu können. 

      Je nachdem, ob eine Zertifizierung vorliegt, ändert sich der Inhalt der jeweiligen Datenschutzklausel und eine Aktualisierung Ihrer Datenschutzerklärung kann erforderlich werden.

      Derzeit ist noch nicht bekannt, welche Unternehmen am TADPF teilnehmen. Überwacht wird die Teilnahme der Organisationen vom US-Handelsministerium. Die Behörde kündigte in Ihrer Pressemitteilung vom 10.07.2023 an, in den nächsten Tagen eine Website zum TADPF inkl. einer Übersicht der zertifizierten Unternehmen zu veröffentlichen. Sobald uns diese Übersicht vorliegt, werden wir die Information hier für Sie verlinken. 

      Da aktuell nicht bekannt ist, ob sich betroffene Dienstleister bereits zertifiziert haben bzw. welche Unternehmen sich in nächster Zeit zertifizieren werden, können künftige Aktualisierungen der Datenschutzerklärung auf Sie zukommen.

      Wir beobachten die aktuellen Entwicklungen und werden die Datenschutzerklärung für Sie fortlaufend aktualisieren.

      Bitte informieren Sie sich regelmäßig über erfolgte Zertifizierungen und aktualisieren Sie eigenständig bei Bedarf die Datenschutzerklärungen der betroffenen Internetpräsenzen und Social Media Präsenzen.

      Schritt 2: Aktualisierung bereits geschlossener Auftragsverarbeitungsverträge

      Die neue Rechtsgrundlage für Datenübermittlungen in die USA ist auch im Hinblick auf bereits abgeschlossene Auftragsverarbeitungsverträge relevant.

      In einem Auftragsverarbeitungsvertrag ist unter anderem zu regeln, auf welcher Rechtsgrundlage Datenübermittlungen in Drittstaaten außerhalb der EU erfolgen. Sobald sich ein Unternehmen nach dem TADPF zertifiziert hat, ist mit dieser neuen Rechtsgrundlage für die Datenübermittlung daher eine Anpassung des jeweiligen Auftragsverarbeitungsvertrages notwendig.

      Prüfen Sie, ob sich Unternehmen, derer Sie sich im Rahmen einer Auftragsverarbeitung bedienen, nach dem TADPF zertifiziert haben. Bei den entsprechenden Unternehmen sollten Sie dann den aktualisierten Auftragsverarbeitungsvertrag  erfragen, wenn Ihnen dieser nicht bereits übermittelt wurde.

      Rechtsgrundlagen für Drittstaatenübermittlungen

      Datenübermittlungen in Drittstaaten außerhalb der EU, wie beispielsweise die USA, benötigen nach Art. 44 ff. DSGVO eine gesonderte Rechtsgrundlage. Als rechtliche Grundlagen kommen dabei insbesondere die folgenden in Betracht:

      Mit einem Angemessenheitsbeschluss stellt die EU-Kommission fest, dass in einem Drittstaat oder Gebiet außerhalb der EU ein angemessenes Schutzniveau für personenbezogene Daten besteht. Auf Grundlage dessen dürfen personenbezogene Daten von EU-Bürgern in die Länder, für die eine solche Vereinbarung besteht, übermittelt werden, ohne dass dafür weitere Sicherheitsvorkehrungen oder Vereinbarungen getroffen werden müssen. 

      Bereits der erste Angemessenheitsbeschluss für die USA, das “SafeHarbor”-Abkommen, wurde 2015 durch den Europäischen Gerichtshof (EuGH) mit dem Schrems-I-Urteil für ungültig erklärt. Ersetzt wurde das Abkommen durch eine zweite Vereinbarung, das “EU-US Privacy Shield”, welches 2020 mit dem Schrems-II-Urteil ebenfalls durch den EuGH für ungültig erklärt wurde. Infolgedessen fehlte für sämtliche Datenübermittlungen in die USA, die zuvor auf das “EU-US Privacy Shield” gestützt wurden, eine rechtliche Grundlage. Als Reaktion nutzten viele Unternehmen die Standardvertragsklauseln der EU-Kommission, um die Übertragung von Daten in die USA rechtmäßig zu gestalten. Dabei handelt es sich um vorformulierte Vertragsklauseln, durch deren Vereinbarung ein angemessenes Schutzniveau sichergestellt werden soll.

      Insbesondere im Hinblick auf die USA konnten jedoch auch die Standardvertragsklauseln allein keine ausreichende Garantie für die Sicherheit der Daten bieten. Grund hierfür ist, dass US-Sicherheitsbehörden weitreichende Zugriffsrechte auf Datenbestände haben, die in den USA und durch US-Unternehmen verarbeitet werden. Die Standardvertragsklauseln können aber eine ggf. gesetzlich bestehende Verpflichtung eines US-Unternehmens, infolge einer behördlichen Anordnung umfangreiche Daten zur Verfügung zu stellen, nicht aufheben.

      Als weitere Möglichkeit, die Datenübermittlung in die USA datenschutzkonform zu gestalten, kam neben den Standardvertragsklauseln eine Einwilligung des Betroffenen in Betracht. Allerdings konnte auch diese Einwilligung nicht absolut rechtssicher umgesetzt werden.

      In diesem Zusammenhang bestehen umfangreiche Informationspflichten vor Erteilung der Einwilligung, insbesondere über Risiken, die durch die Datenübermittlung bestehen. Diesen Informationspflichten beim Betrieb einer Website in der Praxis ausreichend nachzukommen, ist kaum möglich.

      Das TADPF ermöglicht es, personenbezogene Daten wieder risikolos an zertifizierte US-Unternehmen zu übermitteln. Neben der USA besteht bisher für die folgenden Länder bzw. Gebiete ein Angemessenheitsbeschluss:

      • Republik Korea, Andorra, Argentinien, Kanada,
      • Färöer, Guernsey, Israel, Isle of Man, Japan, 
      • Jersey, Neuseeland, Schweiz, Uruguay, Vereinigtes Königreich.

      Hilfreiche Links

      Unser Video auf YouTube

      Eine Übersicht aller Sondernewsletter finden Sie zum Nachlesen im Login-Bereich unter „Kundenkonto“ → „Mitgliedschaft“ → „Sondernewsletter-Archiv“.

       

      Hast du noch weitere Fragen? Wir stehen bereit zu helfen.