Am 10. Juli 2023 trat der neue „EU-US Data Privacy Framework“ als Grundlage für Datentransfers zwischen der EU und den USA in Kraft. Datentransfers an entsprechend zertifizierte Organisationen können nun auf diesen gestützt werden.

Hintergrund

Wie bereits in unserem Blog-Beitrag „Bidens Executive Order zum EU-U.S. Datenschutzrahmen – Neuer Wind für den transatlantischen Datenverkehr?“ berichtet, wurden schon im Oktober 2022 auf Seiten der USA die Voraussetzungen für ein neues Datenschutzabkommen geschaffen, nachdem der EuGH im Juli 2020 das EU-US Privacy Shield für unwirksam erklärt hatte (zu den praktischen Folgen siehe auch unseren Blog-Beitrag aus August 2020).

Nach Erlass des Angemessenheitsbeschlusses durch die Europäische Kommission am 10. Juli 2023 können sich nun US-Unternehmen und deren Tochtergesellschaften unter dem EU-US Data Privacy Framework beim US-Handelsministerium (DOC) zertifizieren. Die Übermittlung personenbezogener Daten in die USA kann dann grundsätzlich auf das EU-US Data Privacy Framework gestützt werden und bedarf keiner weiteren Garantien gem. Art. 46 DSGVO. Bei der Übermittlung an ein zertifiziertes Unternehmen entfällt auch die bisher erforderliche Einzelfallprüfung, ob ein Datentransfer in die USA zulässig ist, das sog. „Transfer Impact Assessment“ (TIA).

Zertifizierung beim US-Handelsministerium

Die Zertifizierung steht derzeit denjenigen US-Unternehmen offen, die der Aufsicht der Federal Trade Commission (FTC) oder des US Department of Transportation (DOT) unterliegen. Um sich zu zertifizieren, muss ein Unternehmen eine öffentliche Erklärung abgeben, dass es sich zur Einhaltung der Vorgaben des EU-US Data Privacy Framework verpflichtet, seine Datenschutzrichtlinien veröffentlichen und diese vollständig umsetzen. Außerdem muss es diverse Informationen an das US-Handelsministerium übermitteln, u.a. den Namen des Unternehmens, eine Beschreibung der Zwecke, für welche das Unternehmen personenbezogene Daten verarbeiten wird, die von der Zertifizierung erfassten Kategorien personenbezogener Daten sowie Angaben zur Rechtsdurchsetzung. Nur wenn alle Voraussetzungen erfüllt sind wird das Unternehmen in die Liste des US-Handelsministeriums aufgenommen. Nur Datentransfers an in dieser Liste aufgeführte Unternehmen können auf das EU-US Data Protection Framework gestützt werden.

Übergangsfrist abgelaufen! Handlungsbedarf bei Alt-Zertifizierung unter dem Privacy Shield

Für Zertifizierungen, die noch unter dem Privacy Shield erteilt wurden, gab es eine Übergangsfrist von drei Monaten nach Inkrafttreten des EU-US Data Privacy Frameworks. Diese Übergangsfrist ist am 13. September 2023 abgelaufen. Unternehmen, die von dieser Übergangsfrist profitiert haben, ist nun eine Re-Zertifizierung zu raten.

DSK veröffentlich Orientierungshilfe

Auch die Deutschen Datenschutzbehörden befürworten den neuen Angemessenheitsbeschluss zum Datentransfer überwiegend. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 4. September 2023 Anwendungshinweise veröffentlicht, die die wesentlichen Inhalte des Angemessenheitsbeschlusses erläutern und insbesondere den Anwendungsbereich der Neuregelungen, alternative Übermittlungsinstrumente und die Durchsetzung von Betroffenenrechten beleuchten.

Kein Grund zur Euphorie?

Aber nicht alle Datenschutzbehörden sprechen sich für den neuen Angemessenheitsbeschluss aus. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TlfDI) sieht das EU-US Data Privacy Framework bereits in seiner Pressemitteilung vom 14 Juli 2023 „Neuer EU- Data Privacy Framework – Beschluss: Kein Grund zur Euphorie“ eher kritisch.

Am 5. September 2023 bekräftigt dieser seine Position und nimmt insbesondere Bezug auf die Kritikpunkte von NYOB, zu denen wir bereits in unserem Blog-Beitrag aus Oktober 2022 berichtet haben und führt aus: „Unternehmen etwa sollten vor diesem Hintergrund abwägen, ob sie sensible Daten – auch Kundendaten – in die USA transferieren oder bis zur Entscheidung des EuGH vorsorglich nicht. Denn die Wahrscheinlichkeit, dass der Europäische Gerichtshof den Adäquanzbeschluss aufheben wird, ist danach recht hoch.“

Ob der Angemessenheitsbeschluss bestehen bleibt oder ob das EU-US Datenschutzabkommen ein weiteres Mal vom Europäischen Gerichtshof gekippt wird, bleibt abzuwarten. Ein sensibler Umgang und eine Beobachtung der Entwicklungen ist in jedem Fall unumgänglich.