Am 10. Juli 2023 hat die Europäische Kommission mit einem Durchführungsrechtsakt gemäß Art. 45 Abs. 3 DSGVO einen bedeutenden Schritt im Datenschutz unternommen: 

Sie erließ einen neuen Angemessenheitsbeschluss für den Datentransfer in die USA. 

Dieser Beschluss trägt dazu bei, ein angemessenes Datenschutzniveau für die Übermittlung personenbezogener Daten aus der EU/EWR in Drittländer sicherzustellen. Doch bevor wir uns zu sehr über diese Neuigkeit freuen, sollten wir die Details und Feinheiten dieses Beschlusses genauer betrachten.

Der Zweck des Angemessenheits Beschlusses

Der Angemessenheitsbeschluss ist ein entscheidendes Instrument, um sicherzustellen, dass personenbezogene Daten, die aus der EU/EWR in Drittländer übertragen werden, angemessen geschützt sind. Dies ist von enormer Bedeutung, da Datenschutz und -sicherheit in einer digitalen Welt, in der Daten global fließen, einen hohen Stellenwert einnehmen.

Der neue Angemessenheitsbeschluss stützt sich auf das “EU-U.S. Data Privacy Framework”, eine etablierte Grundlage für den Datentransfer in die USA. Dies soll es ermöglichen, personenbezogene Daten in die USA zu übertragen, ohne zusätzliche Schutzvorkehrungen oder Genehmigungen einholen zu müssen.

Hier kommt jedoch der Haken:

Die Zertifizierung erfolgt nach EU-US Data Privacy Framework

Der neue Angemessenheitsbeschluss gilt ausschließlich für Datenempfänger, die gemäß dem “EU-U.S. Data Privacy Framework” zertifiziert sind. Das bedeutet, nicht jedes Unternehmen in den USA ist automatisch qualifiziert, personenbezogene Daten aus der EU zu empfangen.

Datenübermittlungen an US-Unternehmen, die nicht in der Liste zum Datenschutzrahmen EU-USA verzeichnet sind, können nicht auf den Angemessenheitsbeschluss gestützt werden. Solche Übermittlungen erfordern weiterhin geeignete Garantien nach Art. 46 DS-GVO (z. B. Standardvertragsklauseln), den Rückgriff auf verbindliche interne Datenschutzvorschriften nach Art. 47 DS-GVO (Binding Corporate Rules) oder das Vorliegen eines Ausnahmetatbestands nach Art. 49 DS-GVO im Einzelfall. 

Um festzustellen, ob ein Datenempfänger auf der Liste der zertifizierten Firmen steht, hat das U.S. Handelsministerium, auch bekannt als das “U.S. Department of Commerce”, eine Liste bereitgestellt, die unter folgendem Link einsehbar ist: Liste zertifizierter Unternehmen

Unsere Empfehlung und Anmerkungen

Wenn Sie personenbezogene Daten in die USA übertragen müssen, ist es ratsam, zunächst zu überprüfen, ob der beabsichtigte Datenempfänger auf der Liste der zertifizierten Firmen steht.

Doch Vorsicht:

Die Zertifizierung ist kein Selbstläufer, und nicht jedes Unternehmen wird sie erhalten.

Steht der Datenempfänger nicht auf der Zertifizierungsliste, sollten Sie weiterhin spezifische Prüfungen durchführen und geeignete Standarddatenschutzklauseln in Ihre Verträge aufnehmen. Hierbei kann auch ein “Transfer Impact Assessment” (TIA) hilfreich sein, um die Risiken des Datentransfers zu bewerten. Alternativ können Sie erwägen, auf einen in der EU ansässigen Datenempfänger umzusteigen.

Es ist wichtig zu bedenken, dass frühere Abkommen bezüglich Datentransfers in die USA, wie das EU-US Privacy Shield, vom Europäischen Gerichtshof aufgrund grundlegender Mängel für ungültig erklärt wurden. Es besteht daher die Möglichkeit, dass auch der “neue” Angemessenheitsbeschluss einer rechtlichen Prüfung unterzogen wird.

Fazit

Der Datenschutz im transatlantischen Datenverkehr bleibt spannend und herausfordernd. Unternehmen, die personenbezogene Daten in die USA übertragen, sollten weiterhin äußerst umsichtig agieren und gründliche Überprüfungen vornehmen, um einen reibungslosen und rechtlich konformen Datentransfer zu gewährleisten. Die Entwicklungen in diesem Bereich sind noch lange nicht abgeschlossen, und die Sicherheit und der Schutz von Daten bleiben von zentraler Bedeutung in der globalen Wirtschaft.