Die EU-Kommission hat am 10. Juli 2023 über einen Angemessenheitsbeschluss dem transatlantischen Datenschutzrahmen EU-USA (EU-U.S. Data Privacy Framework (DPF)) zugestimmt.
Mit diesem Beschluss legt die EU-Kommission fest, dass in den USA über diesen Datenschutzrahmen ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet ist, vergleichbar mit den Schutzstandards innerhalb der EU über die Regelungen DSGVO. Dies gilt aber nur, sofern personenbezogene Daten aus der EU an U.S.-Unternehmen übermittelt werden, die an dem Datenschutzrahmen EU-USA teilnehmen und sich dort einer Selbst-Zertifizierung unterzogen haben.
Ziel des neuen Datenschutzrahmens ist es, in Berücksichtigung der vom Europäischen Gerichtshof (EuGH) in 2020 geäußerten Kritik bzw. des Scheiterns des „Privacy Shield“ den Transfer von personenbezogenen Daten aus der EU in die USA auf eine neue rechtliche Basis zu stellen. Grund für die ablehnende Haltung des EuGH (EuGH Urteil v. 16.07.2020, C-311/18 – Schrems II) gegen den Privacy Shield war bekanntlich, dass US-Behörden auf personenbezogene Daten von EU-Bürgern zugreifen konnten und den Betroffenen keine effektiv durchsetzbaren Rechte gegen diese Zugriffe gewährt wurden, die den Anforderungen der EU-Grundrechtecharta genügen.
Hohe Praxisrelevanz
Unternehmen aus den USA, die von dem neuen Datenschutzrahmen zwischen der EU und den USA profitieren wollen, müssen sich an die in dem Datenschutzrahmen EU-USA gesetzten Datenschutzprinzipien halten.
Auf einer zu dem Datenschutzrahmen EU-USA gerade veröffentlichten Website „Data Privacy Framework Program“ des U.S. Department of Commerce sind die U.S. Unternehmen aufgeführt, die aktuell an diesem Programm teilnehmen und sich hierzu gegenüber dem U.S.-Handelsministerium im Rahmen einer Selbstzertifizierung verpflichtet haben.
Außerdem wird flankierend aufgrund einer Executive Order von U.S.-Präsident Biden vom 7. Oktober 2022 in den USA ein unabhängiger Data Protection Review Court (DPRC) installiert, der EU-Bürgern die Möglichkeit gibt, Zugriffe auf ihre personenbezogene Daten durch U.S. Geheimdienste durch eine unabhängige Instanz auf ihre Rechtmäßigkeit und Verhältnismäßigkeit überprüfen zu lassen.
Für die Praxis bedeutet der Datenschutzrahmen EU-USA, dass EU-Unternehmen bis auf Weiteres mehr Rechtssicherheit haben, wenn Sie mit U.S.-Unternehmen, die nach dem DPF in den USA zertifiziert sind, im Bereich der Verarbeitung personenbezogener Daten zusammenarbeiten wollen. Zwar wird von verschiedener Seite Kritik auch an dem neuen Datenschutzrahmen EU-USA laut, die einen echten Paradigmenwechsel zu den Vorgängerabkommen nicht erkennen will. Schlussendlich lässt sich aber sagen, dass der neue Datenschutzrahmen EU-USA Firmen in der EU die Möglichkeit des Durchatmens verschafft.
