04.09.2023

Datenschutzkonferenz veröffentlicht Anwendungshinweise zum EU-U.S. Data Privacy Framework

Das Dokument richtet sich an Datenexporteure, die Daten in die USA übermitteln wollen, und an betroffene Personen, die diesbezüglich mehr über Rechtsschutz- und Beschwerdemöglichkeiten wissen möchten.

Wer personenbezogene Daten in die USA übermitteln will, muss sich an das europäische Datenschutzrecht halten. Die Datenschutz-Grundverordnung lässt einen Datentransfer in Drittländer nur unter bestimmten Bedingungen zu, um auch bei der Übermittlung und Weiterverarbeitung ein gleichwertiges Datenschutzniveau aufrechtzuerhalten. Die EU-Kommission kann in einem Angemessenheitsbeschluss die Gleichwertigkeit des Datenschutzniveaus feststellen. Frühere Angemessenheitsbeschlüsse für die USA hatte der Europäische Gerichtshof insbesondere aufgrund der weitreichenden Befugnisse für US-Sicherheitsbehörden, auf die personenbezogenen Daten zuzugreifen, für ungültig erklärt: im Jahr 2015 „Safe Harbor“ und im Jahr 2020 den so genannten „Privacy Shield“.

Seit dem 10. Juli 2023 liegt nun ein neuer Angemessenheitsbeschluss zum Datentransfer in die USA auf der Grundlage des „EU-US Data Privacy Framework“ vor. Zahlreiche Unternehmen und Behörden haben sich in den letzten Wochen an die Datenschutzaufsichtsbehörden mit Fragen dazu gewandt, wie mit diesem neuen „Datenschutzrahmen“ umzugehen ist. Auch Nutzerinnen und Nutzer wollen wissen, was dieser neue Beschluss bedeutet. Viele Informationen liegen zudem bisher nur in englischer Sprache vor und sind für Laien kaum verständlich.

Daher veröffentlicht die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) Anwendungshinweise zu dem Angemessenheitsbeschluss zum EU-US Data Privacy Framework. Nach einer Einführung zum Datenschutz bei Drittlandsübermittlungen enthält das Dokument einerseits Informationen für die Datenexporteure, also die Verantwortlichen und Auftragsverarbeiter, die Daten in die USA übermitteln. Andererseits erfahren betroffene Personen, welche Rechtsschutz- und Beschwerdemöglichkeiten sie haben.

Wer sich weiter informieren will, findet in dem Dokument Links zu zahlreichen Materialien, beispielsweise vom Europäischen Datenschutzausschuss.

Angesichts der vorherigen für ungültig erklärten Angemessenheitsbeschlüsse für die USA wollen viele wissen, ob den Angemessenheitsbeschluss EU-US Data Privacy Framework dasselbe Schicksal ereilen wird wie Safe Harbor und den Privacy Shield. Diese Frage kann die Datenschutzkonferenz nicht beantworten. Zum jetzigen Zeitpunkt handelt es sich bei dem Angemessenheitsbeschluss um geltendes EU-Recht.
Neben den vorgesehenen Evaluationen durch die EU-Kommission, aus denen Anpassungen oder eine Aufhebung resultieren können, bestehen Möglichkeiten für eine gerichtliche Überprüfung des neuen Angemessenheitsbeschlusses.

zurück zum Seitenanfang