US-Datentransfers: Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework

Lange erwartet und von aller Welt beobachtet, hat die Europäische Kommission am 10. Juli endlich die Angemessenheitsentscheidung zum EU-U.S. Data Privacy Framework getroffen und veröffentlicht.

Wesentliche Änderungen zum Schutz der Privatsphäre von EU-Bürgern bestehen darin, dass

  • auf US-Seite Einschränkungen getroffen wurden hinsichtlich des Zugriffs auf und der Nutzung von personenbezogenen Daten durch US-Behörden, um die Verhältnismäßigkeit dieser Nutzung im Hinblick auf den Schutz der nationalen Sicherheit zu gewährleisten, und
  • Betroffenen in der EU ein Mechanismus zur Verfügung steht, um sich gegen eine Nutzung zu wehren, einschließlich eines neu geschaffenen Gerichtskörpers (des sog. Data Protection Review Court).

Den Angemessenheitsbeschluss (in Englisch) finden Sie hier: Adequacy decision EU-US Data Privacy Framework.pdf

Transfers von personenbezogenen Daten in die USA können damit in der Praxis nun bis auf Weiteres nicht mehr nur auf Basis der EU-Standardvertragsklauseln erfolgen, sondern auch dann, wenn sich der Empfänger in den USA dem EU-U.S. Data Privacy Framework unterworfen hat. Das US Department of Commerce hat schon angekündigt, dass Unternehmen, die sich aktuell den Regeln des EU-U.S. Privacy Shield unterworfen haben, keine neue, weitere Selbstzertifizierung durchführen und Beantragung gegenüber dem US Department of Commerce vornehmen müssen, sondern Transfers sofort auf das EU-U.S. Data Privacy Framework stützen können. Ihre Policies müssen sie dann bis zum 10. Oktober 2023 aktualisieren.Show Footnote

Die USA haben entsprechende Anpassungen auch für Großbritannien und die Schweiz vorbereitet. Übermittlungen von personenbezogenen Daten können rechtlich aber erst dann auf diesen Frameworks erfolgen, wenn Großbritannien bzw. die Schweiz entsprechende Angemessenheitsbeschlüsse verabschieden.

In ihrem Angemessenheitsbeschluss geht die Europäische Kommission auch darauf ein, dass die USA generell Maßnahmen zum Schutz personenbezogener Daten ergriffen hat. Damit werden auch die Risikoprüfungen unter den EU-Standardvertragsklauseln (Transfer Impact Assessments) für Übermittlungen in die USA deutlich einfacher und rechtlich weniger risikoreich.

Es ist davon auszugehen und von der Nichtregierungsorganisation NOYB bereits angekündigt, dass das EU-U.S. Data Privacy Framework gerichtlich geprüft wird und damit der EuGH letztinstanzlich darüber entscheiden wird. Bis dahin ist der Angemessenheitsbeschluss für die Rechtssicherheit von Übermittlungen personenbezogener Daten eine gute Nachricht.

Kontaktieren Sie uns

Dr. Jan-Peter Ohrtmann

Partner Düsseldorf
Tel.: +49 211 981-2572
E-Mail: jan-peter.ohrtmann@pwc.com

Zum Anfang