Die Europäische Kommission hat nun (am 10.7.2023) bestätigt, dass der Nachfolger des "Privacy Shields" ein angemessenes Schutzniveau bietet; es liegt ein sog. Angemessenheitsbeschluss vor, der die Übermittlung von personenbezogenen Daten aus der EU in die USA zu einem Empfänger (Verantwortlichen oder Auftragsverarbeiter) nach denselben Kriterien für zulässig erklärt, wie wenn der Datenempfänger in der EU seinen Sitz hätte.
Voraussetzung ist jedoch, dass der konkrete Empfänger (Datenimporteur in die USA) nach dem EU-U.S. Data Privacy Framework "zertifiziert" ist.
Nach "Safe-Harbour" (bis 6.10. 2015, C-362/14) und "Privacy Shield" (bis 16.7.2020, C-311/18) ist das EU-U.S. Data Privacy Framework dritte Grundlage für einen Angemessenheitsbeschluss.
Mit dem neuen Angemessenheitsbeschluss können personenbezogene Daten aus der EU nun wieder in die USA übermittelt werden, ohne dass zusätzliche Instrumente oder Maßnahmen iSd Schrems-II-Entscheidung des EuGH (C-311/18, 16.7.2020) erforderlich sind, wenn der Datenempfänger nach dem EU-U.S. Data Privacy Framework zertifiziert ist.
Bei der Datenübermittlung ist dieser Faktor zu berücksichtigen und die Unternehmen in der EU ("Datenexporteur") müssen dies im Vorfeld der Datenübermittlung überprüfen.
Am 28. Februar 2023 hat der EDSA seine Stellungnahme zum Entwurf des Angemessenheitsbeschlusses zum EU-U.S. DPF abgegeben. Alle nationalen Datenschutzbehörden waren daran beteiligt.
Der Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework ermöglicht die Übermittlung von personenbezogenen Daten an Organisationen, die vom U.S. Department of Commerce zertifiziert wurden.
Das U.S. Department of Commerce veröffentlicht eine Liste, auf der überprüft werden kann, ob eine bestimmte Organisation zertifiziert ist.
Die Europäische Kommission hat weitere Informationen zum EU-U.S. Data Privacy Framework in einer Pressemitteilung am 10.7.2023 veröffentlicht, in der es zB heißt:
"Mit dem Datenschutzrahmen EU-USA werden neue verbindliche Garantien eingeführt, um allen vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen; so ist vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt ist und ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen wird, zu dem Einzelpersonen in der EU Zugang haben.
Der neue Rahmen bringt erhebliche Verbesserungen gegenüber dem im Rahmen des Datenschutzschilds bestehenden Mechanismus mit sich. Stellt das Gericht zur Datenschutzüberprüfung beispielsweise fest, dass bei der Datenerhebung gegen die neuen Garantien verstoßen wurde, kann es die Löschung der Daten anordnen. Die neuen Garantien im Bereich des staatlichen Zugriffs auf Daten werden die Pflichten ergänzen, denen US-Unternehmen, die Daten aus der EU einführen, nachkommen müssen."
Kommentar schreiben