• 11.07.23
  • Lesedauer: 2 Minuten

Data Privacy Framework (DPF)Neuer Angemessenheitsbeschluss für einen sicheren Datentransfer zwischen der EU und den USA

Die Europäische Kommission hat am 10.07.2023 im Drittversuch einen Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. Damit können EU-Unternehmen ab sofort personenbezogene Daten an Datenimporteure in den USA, die die Einhaltung der DPF-Grundsätze bescheinigen, übermitteln, ohne dass weitere Genehmigungen oder zusätzliche Maßnahmen (z.B. SCC und BCR) erforderlich sind.

Hintergrund

Beschließt die Kommission, dass ein Drittland (Gebiet oder Sektor) ein angemessenes Schutzniveau aufweist, dann ist der Drittlandtransfer ohne Weiteres zulässig.

Für die USA hat die Kommission vor Inkrafttreten der DSGVO zwei Angemessenheitsbeschlüsse erlassen: die Safe-Harbor-Entscheidung vom 26.06.2000, die am 6.10.2015 durch den EuGH für ungültig erklärt wurde (Schrems I), und das Privacy Shield vom 12.06.2016, das am 16.07.2020 durch den EuGH auch für ungültig erklärt wurde (Schrems II).

In beiden Fällen stellte der EuGH fest, dass eine Überwachung durch die US-Behörden von EU-Bürgern, deren personenbezogene Daten in die USA übermittelt wurden, nicht mit dem EU-Recht vereinbar sei. Ein weiteres Problem sei das Fehlen von effektiven Rechtsdurchsetzungsmechanismen für EU-Bürger in den USA.

Seit Juli 2020 mussten Unternehmen Daten vorbehaltlich geeigneter Garantien an die USA übermitteln.

Das Data Privacy Framework (DPF)

Am 23.05.2022 kündigten die Europäische Kommission und die Vereinigten Staaten an, sich auf einen neuen Transatlantischen Datenschutzrahmen grundsätzlich geeinigt zu haben und auch dafür gesorgt zu haben, dass die vom EuGH in der Sache Schrems II geäußerten Bedenken berücksichtigt würden.

Gestern ist der Angemessenheitsbeschluss endlich in Kraft getreten.

Auswirkungen für Unternehmen

  • Hierbei handelt es sich immer noch um einen Selbstzertifizierungsmechanismus: Datenimporteure in den USA müssen ihre Einhaltung der DPF-Prinzipien selbst zertifizieren.
  • Es bleibt unklar, was mit Unternehmen, die bereits unter dem Privacy Shield zertifiziert sind, passieren wird – ob eine neue Zertifizierung notwendig ist oder ob eine Rezertifizierung möglich sein wird.
  • Notwendige Informationen werden auf https://www.dataprivacyframework.gov/s/ zur Verfügung gestellt. Derzeit ist die Website noch im Aufbau und Besucher werden auf die Website des Privacy Shield weitergeleitet.
  • Datenexporteure in der EU müssen zunächst sicherstellen, dass der Datenempfänger in den USA bereits DPF-zertifiziert ist, bevor eine Datenübermittlung auf der Grundlage des neuen Angemessenheitsbeschlusses stattfindet.
  • Eine Datentransfer-Folgenabschätzung wird für Drittlandtransfers auf der Grundlage des DPF nicht mehr erforderlich. Ist der Datenimporteur jedoch nicht DPF-zertifiziert, dann bleibt die Durchführung einer Datentransfer-Folgenabschätzung weiterhin notwendig.
  • Datenschutzerklärungen sind zu aktualisieren.

Ihr persönlicher Kontakt

Matthias SchulzSenior Sales Manager

Diese Artikel könnten Sie ebenfalls interessieren

it-sicherheit
Insights
IT-Sicherheit: Die Hacker werden immer aggressiver
November 15, 2024
Mehr erfahren
iStock-1417264479
Insights
Strenge Vorgaben für „Finanzunternehmen“
November 8, 2024
Mehr erfahren

Sie möchten über neueste Entwicklungen auf dem Laufenden bleiben?​Melden Sie sich hier zu unserem Newsletter an.