Am 10. Juli 2023 verabschiedete die Europäische Kommission ihren Angemessenheitsbeschluss für die USA, das sogenannte „EU-U.S. Data Privacy Framework“. Dieser Beschluss ermöglicht nun wieder eine sichere Übermittlung personenbezogener Daten aus der EU an US-Unternehmen, die sich selbstzertifiziert und in die Data Privacy Framework Liste aufgenommen wurden, ohne dass zusätzliche Maßnahmen erforderlich sind.
Mit diesem Angemessenheitsbeschluss ist ein problemloser Datenaustausch mit den USA wieder möglich, was zuvor durch die Aufhebung des Privacy Shield auf Betreiben von Max Schrems durch den EuGH im Jahr 2020 unterbrochen wurde.
Im Folgenden haben wir die wichtigsten Kernpunkte dieses Beschlusses für Sie zusammengefasst.
Was ist ein Angemessenheitsbeschluss?
Ein Angemessenheitsbeschluss ist ein Instrument, das im Rahmen der Datenschutz-Grundverordnung (DSGVO) vorgesehen ist, um die Übermittlung personenbezogener Daten aus der EU in Drittländer zu ermöglichen, sofern diese Drittländer ein Schutzniveau für personenbezogene Daten bieten, das mit dem der EU vergleichbar ist.
Durch Angemessenheitsbeschlüsse können personenbezogene Daten frei und sicher aus dem Europäischen Wirtschaftsraum (EWR), zu dem die 27 EU-Mitgliedstaaten sowie Norwegen, Island und Liechtenstein gehören, in ein Drittland übertragen werden, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen.
Der Angemessenheitsbeschluss ermöglicht also eine Behandlung von Datenübermittlungen in das Drittland ähnlich wie Datenübermittlungen innerhalb der EU.
Wie lange gilt der Angemessenheitsbeschluss?
Es gibt keine zeitliche Begrenzung für den Angemessenheitsbeschluss, aber die Europäische Kommission wird die Entwicklungen im Drittland kontinuierlich überwachen und die Angemessenheitsentscheidung regelmäßig überprüfen.
Die erste Überprüfung findet innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses statt, um sicherzustellen, dass alle relevanten Elemente des Rechtsrahmens im Drittland in der Praxis wirksam funktionieren. Abhängig von den Ergebnissen dieser ersten Überprüfung wird die Häufigkeit künftiger Überprüfungen in Absprache mit den EU-Mitgliedstaaten und den Datenschutzbehörden festgelegt, wobei diese mindestens alle vier Jahre stattfinden werden.
Bei Entwicklungen, die das Schutzniveau im Drittland beeinflussen, besteht die Möglichkeit, dass der Angemessenheitsbeschluss angepasst oder sogar zurückgezogen wird.
Darf ich an alle US-Unternehmen Daten transferieren?
Nein, ein Datentransfer an ein US-Unternehmen ist nur erlaubt, wenn das US-Unternehmen in der Data Privacy Framework Zertifizierungs-Liste des US-Handelsministeriums aufgeführt ist. Es ist daher unbedingt notwendig, diese Liste regelmäßig zu überprüfen.
US-Unternehmen können ihre Teilnahme am Data Privacy Framework zertifizieren, indem sie sich zur Einhaltung detaillierter Datenschutzverpflichtungen verpflichten. Diese Verpflichtungen können Datenschutzgrundsätze wie Zweckbindung, Datenminimierung, Datenaufbewahrung sowie spezifische Pflichten zur Datensicherheit und zur Weitergabe von Daten an Dritte umfassen.
Das Data Privacy Framework wird vom US-Handelsministerium verwaltet, das Zertifizierungsanträge bearbeitet und überwacht, ob teilnehmende Unternehmen weiterhin die Zertifizierungsanforderungen erfüllen. Die Einhaltung der Verpflichtungen aus dem Data Privacy Framework durch US-Unternehmen wird von der US-amerikanischen Federal Trade Commission überwacht und durchgesetzt.
Die Liste der zertifizierten Unternehmen ist auf der Seite des U.S. Department of Commerce abrufbar: https://www.dataprivacyframework.gov/s/participant-search
Auswirkungen für Unternehmen?
Der Angemessenheitsbeschluss wird vielen Unternehmen das Leben in naher Zukunft erheblich erleichtern. Es ist jedoch wichtig zu beachten, dass die Erleichterungen nur für den Datentransfer zu selbstzertifizierten US-Unternehmen gelten.
Allerdings gibt es einen Wermutstropfen: Max Schrems bzw. NOYB hat bereits angekündigt, den Angemessenheitsbeschluss beim EuGH anzufechten. Daher wird von Anwälten empfohlen, insbesondere bei länger laufenden Verträgen für den US-Datentransfer zusätzlich auf Standardvertragsklauseln mit den vereinbarten angemessenen Maßnahmen zu setzen, um weiterhin ein Sicherheitsnetz zu haben.