Am 10. Juli 2023 hat die EU-Kommission eine wichtige Ankündigung gemacht, indem sie ihren Angemessenheitsbeschluss über den EU-US Data Privacy Framework (DPF) angenommen hat.
Diese Entscheidung bedeutet eine erneute Anerkennung, dass die Vereinigten Staaten ein angemessenes Schutzniveau bieten, das dem der Europäischen Union (EU) entspricht. Folglich können personenbezogene Daten nun ungehindert von der EU zu selbstzertifizierten US-Unternehmen fließen, ohne dass zusätzliche Sicherheitsvorkehrungen erforderlich sind.
Dieser Artikel befasst sich mit den Einzelheiten der Entscheidung und hebt die wichtigsten Änderungen hervor, die am für ungültig erklärten Privacy Shield Framework vorgenommen wurden.
Die EU-US-DSGVO ist ein entscheidender Schritt zur Wiederherstellung des Vertrauens in den transatlantischen Datenübermittlung.
Nach dem Schrems-II-Urteil des GHdEU wurde das vorherige Privacy Shield Framework aufgrund von Bedenken hinsichtlich des Datenzugriffs durch US-Geheimdienste für ungültig erklärt.
Der neu verabschiedete Rahmenwerk trägt diesen Bedenken durch mehrere bemerkenswerte Überarbeitungen Rechnung:
Im Rahmen der EU-US DPF ist der Zugriff auf Daten durch US-Geheimdienste nun auf das beschränkt, was als „erforderlich und verhältnismäßig“ erachtet wird.
Diese Bestimmung stellt sicher, dass die Datenübermittlung strengen Datenschutzstandards entspricht und gleichzeitig legitime nationale Sicherheitsinteressen berücksichtigt.
Um die Verantwortlichkeit zu verbessern und die Rechte der EU-Bürger zu schützen, wurde ein neuer zweistufiger Rechtsbehelfsmechanismus eingeführt.
Der Angemessenheitsbeschluss gewährt EU-Personen, deren Daten an selbstzertifizierte US-Unternehmen übermittelt wurden, mehrere wichtige Rechte. Zu diesen Rechten gehört die Möglichkeit,:
Die von der US-Regierung im Rahmen der EU-US DPF vorgesehenen Garantien gehen über die in diesem speziellen Rahmen übermittelten Daten hinaus. Sie gelten auch für Daten, die über andere Mechanismen übermitteln werden, wie z.B.:
Diese breitere Anwendung gewährleistet ein einheitliches Datenschutzniveau für EU-Personen, unabhängig von dem spezifischen Übermittlungsmechanismus, der verwendet wird.
Um die kontinuierliche Compliance und Wirksamkeit zu gewährleisten, wird die EU-US DPF regelmäßig überprüft.
Die erste Überprüfung soll innerhalb eines Jahres nach Inkrafttreten des Rahmens stattfinden. Die EU-Kommission wird die einschlägigen Entwicklungen in den USA kontinuierlich überwachen, um sicherzustellen, dass die festgelegten Schutzmaßnahmen beibehalten werden.
Derzeit besteht kein unmittelbarer Handlungsbedarf. Wir müssen warten, bis die US-Unternehmen den Selbstzertifizierungsprozess abgeschlossen haben, bevor die Datentransfers beginnen können.
Die Verabschiedung des EU-US Data Privacy Frameworks durch die EU-Kommission ist ein wichtiger Meilenstein für den transatlantischen Datenschutz. Mit dem Angemessenheitsbeschluss kann der Fluss personenbezogener Daten aus der EU an US-Unternehmen ohne zusätzliche Sicherheitsvorkehrungen wieder aufgenommen werden, vorausgesetzt, sie nehmen an der EU-US DPF teil.