Einleitung
Am 10. Juli 2023 hat die Europäische Kommission einen bedeutenden Schritt im Datenschutz gemacht, indem sie einen Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (DPF) erlassen hat. Dieser Beschluss wirkt sich auf die Übertragung von personenbezogenen Daten zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA) aus. Dieser Beitrag soll einen Überblick über diesen Beschluss und seine Implikationen bieten. Weitere Beiträge zu diesem Thema finden sie hier.
Der Angemessenheitsbeschluss und seine rechtliche Bedeutung
Der am 10. Juli 2023 in Kraft getretene Angemessenheitsbeschluss hält formell fest, dass in den USA ein angemessenes Datenschutzniveau gilt, solange dieser Beschluss in Kraft ist. Dies bedeutet, dass Datenübermittlungen an US-Unternehmen, die gemäss den DPF-Richtlinien zertifiziert sind, aus datenschutzrechtlicher Sicht als rechtskonform gelten. Der Beschluss dient dazu, den Datenschutz bei grenzüberschreitenden Datenübermittlungen sicherzustellen.
Die Datenschutzkonferenz (DSK) hat am 4. September 2023 Anwendungshinweise zur Übermittlung personenbezogener Daten aus Europa in die USA und zum Angemessenheitsbeschluss der EU-Kommission zum Datenschutzrahmen EU‐US Data Privacy Framework (DPF) vom 10. Juli 2023 veröffentlicht. Auch die EU-Kommission hält ein Q&A zu dem Thema bereit.
Anwendungsbereich des Angemessenheitsbeschlusses und das Selbstzertifizierungsverfahren
Der Angemessenheitsbeschluss gilt nicht automatisch für alle US-Unternehmen. Unternehmen müssen sich selbst zertifizieren, um von diesem Beschluss zu profitieren. Nach erfolgreicher Zertifizierung werden diese Unternehmen in einer öffentlich zugänglichen Datenbank aufgeführt, was die Transparenz und Überprüfung der Datenschutzstandards gewährleisten soll. Unter dem DPF sind jedoch Transfers personenbezogener Daten in die USA im Wesentlichen nach demselben Muster erlaubt, wie es unter dem „Privacy Shield“ der Fall gewesen ist.
Langfristige Rechtssicherheit und mögliche Herausforderungen
Das DPF ist das dritte Datenschutzabkommen zwischen der EU und den USA, nachdem das 2Safe-Harbor-Abkommen» und der «EU-US Privacy Shield» aufgrund unzulässiger Datenzugriffe durch US-Nachrichtendienste vom Europäischen Gerichtshof (EuGH) für ungültig erklärt wurden. Trotz einiger Verbesserungen im DPF haben Kritiker Bedenken geäussert und Klagen vor dem EuGH angekündigt, insbesondere hinsichtlich möglicher unzulässiger Datenzugriffe durch US-Nachrichtendienste. Da der EuGH strenge Anforderungen an ein angemessenes Datenschutzniveau stellt, bleibt die Frage der langfristigen Rechtssicherheit weiterhin offen.
Fazit
Unternehmen, die Datenübermittlungen gemäss dem neuen Angemessenheitsbeschluss durchführen möchten, sollten sorgfältig ihre Datenschutzmassnahmen prüfen und anpassen. Dies umfasst die Überprüfung der Zertifizierung der US-Unternehmen, die Anpassung der Datenschutzdokumentation und die regelmässige Überwachung der Zertifizierung.
Zusammenfassend ist festzuhalten, dass der Angemessenheitsbeschluss eine wichtige Entwicklung im Datenschutz darstellt. Unternehmen sollten sich der rechtlichen Implikationen bewusst sein und entsprechende Schritte unternehmen, um die Einhaltung der Datenschutzstandards sicherzustellen. Allerdings werden bereits stimmen Laut, wonach davon auszugehen ist, dass die Wahrscheinlichkeit beseht, dass der Angemessenheitsbeschluss für die USA durch den Europäischen Gerichtshof (EuGH) wieder aufgehoben wird, in einer Pressemitteilung vom 4. September 2023 als „recht hoch“ ein. Vor diesem Hintergrund empfhiehlt es sich, weiterhin andere Garantien, wie etwa die EU-Standardvertragsklauseln mit den Unternehmen mit Sitz abzuschliessen.
Sehr gerne unterstützen wir Sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.
