Am 10. Juli 2023 hat die Europäische Kommission mit dem EU-U.S. Data Privacy Framework eine Nachfolgeregelung für den 2020 vom Europäischen Gerichtshof aufgehobenen Privacy Shield angenommen und in Kraft gesetzt.

Auf der Grundlage dieser neuen Angemessenheitsentscheidung im Sinne von Artikel 45 DS-GVO ist künftig ein Transfer personenbezogener Daten an alle Stellen in den USA möglich, die den hierfür erforderlichen Selbstzertifizierungsprozess durchlaufen haben. Diese Selbstzertifizierung geschieht auf einer vom US-Handelsministerium betriebenen Internetseite für das Data Privacy Framework, auf der eine Liste der zertifizierten Unternehmen geführt wird. Der Großteil der öffentlichen Stellen in den USA sowie Banken, Luftverkehrs- und Versicherungsunternehmen sind von einer Zertifizierung ausgenommen. Dass die benannten Organisationen von einer Zertifizierung ausgenommen sind, bedeutet, dass diese nicht unter das Framework fallen, da dieses nur für zertifizierte Organisationen gilt.

Anders als bei einer – weiterhin möglichen – Übermittlung personenbezogener Daten in die USA auf der Grundlage der Standarddatenschutzklauseln der Europäischen Kommission oder verbindlicher Unternehmensrichtlinien ist für Übermittlungen auf Basis der Angemessenheitsentscheidung weder eine Analyse der Rechtslage im Empfängerland (sog. transfer impact assessment) erforderlich, noch müssen die Daten durch ergänzende Maßnahmen, wie z.B. Verschlüsselung, in den USA vor staatlichem Zugriff besonders geschützt werden.

Die Regelungen verpflichten importierende Stellen in den USA zur Einhaltung von an die DS-GVO angelehnten Datenschutzgrundsätzen (z. B. dem Erforderlichkeitsgrundsatz und dem Transparenzgrundsatz) einschließlich der Erfüllung von Betroffenenrechten wie Auskunfts- und Löschungsansprüchen. Wenn EU-Bürger der Auffassung sind, dass diese Vorgaben keine Beachtung finden, können Sie sich an die für sie zuständige europäische Datenschutzaufsichtsbehörde wenden. Die nationale Datenschutzbehörde leitet die Beschwerde an den Europäischen Datenschutzausschuss weiter, der sie an die für die Bearbeitung der Beschwerde zuständigen US-Behörden übermittelt. Außerdem stehen Betroffenen Rechtsbehelfe vor unabhängigen Schiedsstellen in den USA offen.

Durch ein flankierendes Dekret der US-Regierung wurden die Nachrichtendienste der USA auf die Beachtung bestimmter datenschutzrechtlicher Grundsätze und Vorgaben (z.B. Verbot grundloser Massenüberwachungen, Erforderlichkeit und Verhältnismäßigkeit, Ausschluss bestimmter Ziele wie z. B. Industriespionage) eingeschworen, deren Beachtung Betroffene von neu eingerichteten unabhängigen Stellen in den USA im Einzelfall überprüfen lassen können.

Für die bereits unter der Vorgängerregelung – dem Privacy Shield Framework – zertifizierten Datenimporteure in den USA sind Übergangsregelungen zur Umstellung auf die neuen Vorgaben vorgesehen. Der Neuregelung gehen mehrjährige Verhandlungen zwischen der Europäischen Kommission und der amerikanischen Regierung voraus; zuletzt hatte sich der Europäische Datenschutzausschuss, das Kooperationsgremium der Datenschutzaufsichtsbehörden der europäischen Mitgliedsstaaten, wohlwollend kritisch und das Europäische Parlament ablehnend gegenüber der Neuregelung geäußert.

Hier eine Übersicht vom Data Privacy Framework (DPF) Program, wer am die am „Data Privacy Framework“ teilnimmt: https://www.dataprivacyframework.gov/s/participant-search

Detailliertere Anmerkungen zur neuen Angemessenheitsentscheidung sowie eine Überarbeitung der Orientierungshilfe Internationaler Datentransfer folgen in Kürze.

Beitrag vom 14. Juli. Der Beitrag wurde um den Link zum zum Data Privacy Framework (DPF) Program ergänzt und der Text entsprechend angepasst.

Für Presseanfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.