Am 10. Juli 2023 hat die Europäische Kommission ihren Angemessenheitsbeschluss für die USA, das „EU-U.S. Data Privacy Framework“ verabschiedet. Auf der Grundlage dieses Angemessenheitsbeschlusses können personenbezogene Daten wieder sicher aus der EU an US-Unternehmen, die nach Selbstzertifizierung in die Data Privacy Framework Liste aufgenommen wurden, übermittelt werden, ohne dass zusätzliche Maßnahmen getroffen werden müssen.
Damit ist ein einfacher Datenaustausch mit den USA, der, seit der Privacy Shield auf Betreiben von Max Schrems durch den EuGH 2020 gekippt wurde, wieder möglich.
Was ist ein Angemessenheitsbeschluss?
Ein Angemessenheitsbeschluss ist eines der im Rahmen der Datenschutz-Grundverordnung (DSGVO) vorgesehenen Instrumente zur Übermittlung personenbezogener Daten aus der EU in Drittländer, die nach Einschätzung der Kommission ein mit dem der EU vergleichbares Schutzniveau für personenbezogene Daten bieten.
Aufgrund von Angemessenheitsbeschlüssen können personenbezogene Daten frei und sicher aus dem Europäischen Wirtschaftsraum (EWR), zu dem die 27 EU-Mitgliedstaaten sowie Norwegen, Island und Liechtenstein gehören, in ein Drittland fließen ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen.
Mit anderen Worten: Übermittlungen in das Drittland können genauso gehandhabt werden wie Übermittlungen von Daten innerhalb der EU.
Wie lange gilt der Angemessenheitsbeschluss?
Es gibt keine zeitliche Begrenzung, aber die Kommission wird die relevanten Entwicklungen in den USA kontinuierlich überwachen und die Angemessenheitsentscheidung regelmäßig überprüfen.
Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses stattfinden, um zu überprüfen, ob alle relevanten Elemente des US-Rechtsrahmens in der Praxis wirksam funktionieren. Anschließend und abhängig vom Ergebnis dieser ersten Überprüfung wird die Kommission in Absprache mit den EU-Mitgliedstaaten und den Datenschutzbehörden über die Häufigkeit künftiger Überprüfungen entscheiden, die mindestens alle vier Jahre stattfinden werden.
Bei Entwicklungen, die Auswirkungen auf das Schutzniveau im Drittland haben, können Angemessenheitsbeschlüsse angepasst oder sogar zurückgezogen werden.
Darf ich an alle US-Unternehmen Daten transferieren?
Nein, ein Datentransfer an ein US-Unternehmen ist nur erlaubt, wenn das US-Unternehmen in der Data Privacy Framework Zertifizierungs-Liste des US-Handelsministeriums aufscheint. Diese Liste daher immer zu überprüfen!
US-Unternehmen können ihre Teilnahme am Data Privacy Framework zertifizieren, indem sie sich zur Einhaltung detaillierter Datenschutzverpflichtungen verpflichten. Dazu können beispielsweise Datenschutzgrundsätze wie Zweckbindung, Datenminimierung und Datenaufbewahrung gehören, aber auch spezifische Pflichten zur Datensicherheit und zur Weitergabe von Daten an Dritte.
Das Data Privacy Framework wird vom US-Handelsministerium verwaltet, das Zertifizierungsanträge bearbeitet und überwacht, ob teilnehmende Unternehmen weiterhin die Zertifizierungsanforderungen erfüllen. Die Einhaltung ihrer Verpflichtungen aus dem Data Privacy Framework durch US-Unternehmen wird von der US-amerikanischen Federal Trade Commission durchgesetzt.
Die Liste der zertifizierten Unternehmen ist hier auf der Seite des U.S. Department of Commerce abrufbar: https://www.dataprivacyframework.gov/s/participant-search
Auswirkungen für Unternehmen?
Der Angemessenheitsbeschluss wird vielen Unternehmen das Leben in naher Zukunft erheblich erleichtern. Wichtig ist aber, dass die Erleichterungen nur im Verhältnis zu den selbstzertifizierten US Unternehmen gelten.
Wermutstropfen: Max Schrems bzw. NOYB hat bereits eine neuerliche Anfechtung des Angemessenheitsbeschlusses beim EuGH angekündigt. Es wird daher von Anwälten geraten, gerade bei länger laufenden Verträgen beim US-Datentransfer zusätzlich auf Standardvertragsklauseln mit den vereinbarten angemessenen Maßnahmen zu setzen. Damit besteht im Ernstfall weiterhin ein Sicherheitsnetz.
