taggrs-logo

Übermittlung personenbezogener Daten in die USA – ist das erlaubt?

Transfer of personal data to the US - Is it allowed

Unternehmen aus den Vereinigten Staaten können an persönliche Daten herankommen. Denken Sie an Google, das über Google Analytics IP-Adressen sammeln kann. Arbeiten Sie mit einer amerikanischen Partei zusammen? Mithilfe des Data Privacy Framework können Sie untersuchen, ob die Übermittlung personenbezogener Daten in die USA zulässig ist und welche Erwägungen dabei relevant sein könnten. Wir bieten Ihnen einen Überblick über die Schritte, die Sie befolgen können, um eine informierte Entscheidung zu treffen….

Was ist das Data Privacy Framework?

Das Data Privacy Framework enthält Vereinbarungen über die sichere Übermittlung von personenbezogenen Daten in die USA. Am 10. Juli 2023 treten neue Abkommen zwischen der Europäischen Union und den USA über die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in die USA in Kraft. Diese Vereinbarungen sind als Data Privacy Framework bekannt.

Beispiele für persönliche Daten

  • IP-Adressen
  • E-Mail-Adressen
  • Geburtsdaten

US-Organisationen können dem Data Privacy Framework beitreten. Wenn sie dies tun, ist die Übermittlung personenbezogener Daten aus dem EWR an diese Organisationen erlaubt, ohne dass die europäische Partei zusätzliche rechtliche und technische Maßnahmen ergreifen muss. Diese Unternehmen müssen ähnliche Anforderungen erfüllen wie die GDPR, einschließlich der Beschränkung des Zugriffs durch US-Geheimdienste. Unternehmen, die nicht teilnehmen, wie z.B. aus dem Banken- und Versicherungssektor, unterliegen jedoch weiterhin strengen Auflagen.

Stape 1: Prüfen Sie, ob die Organisation an der Datenschutzrichtlinie teilnimmt

Der erste Schritt besteht darin, zu prüfen, ob die US-Organisation, an die Sie personenbezogene Daten übermitteln möchten, am Data Privacy Framework teilnimmt. Gehen Sie dazu auf die Website des Data Privacy Framework und geben Sie den Namen des Unternehmens ein, mit dem Sie arbeiten werden.

Stape 2: Folgemaßnahmen

Als nächstes gibt es zwei mögliche Szenarien:

Organisation tritt dem Datenschutzrahmenwerk bei

Wenn die US-Organisation, an die Sie personenbezogene Daten übermitteln möchten, an der Datenschutz-Grundverordnung teilnimmt und wenn das spezifische Produkt, das Sie verwenden möchten, ebenfalls unter diese Verordnung fällt, können Sie die personenbezogenen Daten übermitteln. Sie müssen zu diesem Zweck kein anderes Übermittlungsinstrument verwenden und auch keine zusätzlichen Maßnahmen zum Schutz der Daten ergreifen.

Organisation nimmt nicht an der Datenschutzrichtlinie teil

Wenn die US-Organisation, an die Sie personenbezogene Daten übermitteln möchten, nicht am Data Privacy Framework teilnimmt, können Sie möglicherweise zusätzliche Maßnahmen ergreifen.

  1. Verwenden Sie ein Überweisungsinstrument: Für Überweisungen in ein Land außerhalb des EWR können Sie ein Überweisungsinstrument verwenden, z. B. einen Mustervertrag oder verbindliche Unternehmensregeln (BCR).
  2. Ergreifen Sie zusätzliche Maßnahmen: Falls erforderlich, können Sie zusätzliche Maßnahmen ergreifen, um persönliche Daten zu schützen.

Wie könnten diese zusätzlichen Maßnahmen aussehen? Um die geeigneten zusätzlichen Maßnahmen zu bestimmen, können Sie die“Empfehlungen für ergänzende Maßnahmen zu Pass-Through-Instrumenten” des EDPB verwenden. Der EDPB listet mehrere Schutzmaßnahmen auf, die Sie in Betracht ziehen können, wie z.B. eine angemessene Verschlüsselung und Pseudonymisierung. Sie müssen von Fall zu Fall abwägen, welche Maßnahme oder Kombination von Maßnahmen erforderlich ist, um personenbezogene Daten angemessen zu schützen.

Haben Sie Zweifel?

Wenn dies der Fall ist, rät die niederländische Behörde für personenbezogene Daten (AP), zusätzlich bei der Organisation selbst zu prüfen, ob das spezifische Produkt auch unter den Datenschutzrahmen fällt.

Wie TAGGRS den Schutz persönlicher Daten sicherstellt

Server Side Tracking

TAGGRS bietet Hosting-Software für Google Tag Manager Server Side Tracking. Auf diese 3 Arten stellt Server Side GTM sicher, dass Sie GDPR-konform sein können:

  • Verbesserte Kontrolle über die Daten Dritter: Server Side GTM ermöglicht es Ihnen, genauer zu verwalten, welche Daten an externe Parteien wie Facebook übermittelt werden, und gibt Ihnen die Kontrolle über die Informationen, die diese sehen können.
  • Sichere Verarbeitung von sensiblen Informationen und PII: Server Side GTM hilft Ihnen, die Richtlinien von Plattformen wie Google und Facebook einzuhalten, indem es persönlich identifizierbare Informationen (PII) wie IP-Adressen entfernt oder verschlüsselt, bevor es sie an externe Plattformen übermittelt.
  • Effektives Datenmanagement: Server Side GTM bietet Lösungen wie das Hashing von Benutzerdaten nach den Standards verschiedener Plattformen und das Customing von Website-URLs vor der Weiterleitung an externe Parteien, was besonders nützlich für den Schutz sensibler Informationen in URLs ist.

Lesen Sie mehr in unserem Blog über GDPR und Server side tracking.

GDPR-Tool für Anonymisierung

TAGGRS bietet ein GDPR-Tool, das personenbezogene Daten effektiv anonymisieren kann. Dieses Tool hilft Ihnen bei der Einhaltung der GDPR-Vorschriften, indem es sicherstellt, dass sensible Daten in eine Form umgewandelt werden, die nicht zu Einzelpersonen zurückverfolgt werden kann.

GDPR-tool-taggrs-dashboard-1

Eigene Serverstandorte

TAGGRS nutzt seine eigenen Serverstandorte, so dass die Daten das Land nicht verlassen müssen. Dies bietet eine zusätzliche Schutzebene, da die Daten innerhalb der Landesgrenzen verbleiben können. Dies kann dazu beitragen, die Einhaltung lokaler Gesetze und Vorschriften zu gewährleisten und die mit internationalen Datentransfers verbundenen Risiken zu minimieren.

taggrs-server-standorte-globe

Outro

Die Übermittlung personenbezogener Daten in die USA muss sorgfältig geprüft werden. Prüfen Sie, ob Ihre Partnerorganisation am Data Privacy Framework teilnimmt und ergreifen Sie ggf. zusätzliche Maßnahmen. Mit Tools wie denen von TAGGRS können Sie persönliche Daten effektiv verwalten und schützen.

FAQ Rahmen für den Datenschutz

Warum ist TAGGRS nicht im Data Privacy Framework enthalten?

TAGGRS ist ein europäisches Unternehmen, und das Data Privacy Framework ist nur für US-Unternehmen bestimmt.

Gehört Google zum Data Privacy Framework?

Ja, Google nimmt am Data Privacy Framework teil.


Über den Autor

Ate Keurentjes

Ate Keurentjes

Spezialist für Server Side Tracking bei TAGGRS

Ate Keurentjes ist ein Spezialist für Server Side Tracking bei TAGGRS. Er hat Erfahrung mit verschiedenen Konzepten des Google Tag Managers. Keurentjes redigiert und schreibt seit 2023 über die neuesten Entwicklungen und Trends im Bereich Datenerfassung / Server Side Tracking.

Bereit für die nächste Stufe?

Starten Sie mit Server Side Tracking und erzielen Sie mehr Umsatz und Konversionen in einer Welt ohne Third-Party-Cookies.