DATA PRIVACY FRAMEWORK (DPF)NEUER ANGEMESSENHEITS­BESCHLUSS FÜR EINEN SICHEREN DATENTRANSFER ZWISCHEN DER EU UND DEN USA

Hintergrund

Beschließt die Kommission, dass ein Drittland (Gebiet oder Sektor) ein angemessenes Schutzniveau aufweist, dann ist der Drittlandtransfer ohne Weiteres zulässig.

Für die USA hat die Kommission vor Inkrafttreten der DSGVO zwei Angemessenheitsbeschlüsse erlassen: die Safe-Harbor-Entscheidung vom 26.06.2000, die am 6.10.2015 durch den EuGH für ungültig erklärt wurde (Schrems I), und das Privacy Shield vom 12.06.2016, das am 16.07.2020 durch den EuGH auch für ungültig erklärt wurde (Schrems II).

In beiden Fällen stellte der EuGH fest, dass eine Überwachung durch die US-Behörden von EU-Bürgern, deren personenbezogene Daten in die USA übermittelt wurden, nicht mit dem EU-Recht vereinbar sei. Ein weiteres Problem sei das Fehlen von effektiven Rechtsdurchsetzungsmechanismen für EU-Bürger in den USA.

Seit Juli 2020 mussten Unternehmen Daten vorbehaltlich geeigneter Garantien an die USA übermitteln.

Das Data Privacy Framework (DPF)

Am 23.05.2022 kündigten die Europäische Kommission und die Vereinigten Staaten an, sich auf einen neuen Transatlantischen Datenschutzrahmen grundsätzlich geeinigt zu haben und auch dafür gesorgt zu haben, dass die vom EuGH in der Sache Schrems II geäußerten Bedenken berücksichtigt würden.

Gestern ist der Angemessenheitsbeschluss endlich in Kraft getreten.

Auswirkungen für Unternehmen

• Hierbei handelt es sich immer noch um einen Selbstzertifizierungsmechanismus: Datenimporteure in den USA müssen ihre Einhaltung der DPF-Prinzipien selbst zertifizieren.
• Es bleibt unklar, was mit Unternehmen, die bereits unter dem Privacy Shield zertifiziert sind, passieren wird – ob eine neue Zertifizierung notwendig ist oder ob eine Rezertifizierung möglich sein wird.
• Notwendige Informationen werden auf https://www.dataprivacyframework.gov/s/ zur Verfügung gestellt. Derzeit ist die Website noch im Aufbau und Besucher werden auf die Website des Privacy Shield weitergeleitet.
• Datenexporteure in der EU müssen zunächst sicherstellen, dass der Datenempfänger in den USA bereits DPF-zertifiziert ist, bevor eine Datenübermittlung auf der Grundlage des neuen Angemessenheitsbeschlusses stattfindet.
• Eine Datentransfer-Folgenabschätzung wird für Drittlandtransfers auf der Grundlage des DPF nicht mehr erforderlich. Ist der Datenimporteur jedoch nicht DPF-zertifiziert, dann bleibt die Durchführung einer Datentransfer-Folgenabschätzung weiterhin notwendig.
• Datenschutzerklärungen sind zu aktualisieren.