Datenschutzkonferenz veröffentlicht Anwendungshinweise zum Angemessenheitsbeschluss zum EU-US Data Privacy Framework

Der rechtssichere Transfer personenbezogener Daten in die USA ist für viele international agierende Unternehmen eine praktisch eminent wichtige Angelegenheit. Vor allem muss das europäische Datenschutzrecht beachtet werden. Die europäische Datenschutz-Grundverordnung lässt einen Datentransfer in Drittländer nur unter bestimmten Bedingungen zu, um auch bei der Übermittlung und Weiterverarbeitung ein gleichwertiges Datenschutzniveau aufrechtzuerhalten. Die EU-Kommission kann in einem Angemessenheitsbeschluss die Gleichwertigkeit des Datenschutzniveaus feststellen. Frühere Angemessenheitsbeschlüsse für die USA hatte der Europäische Gerichtshof insbesondere aufgrund der weitreichenden Befugnisse für US-Sicherheitsbehörden, auf die personenbezogenen Daten zuzugreifen, für ungültig erklärt: im Jahr 2015 „Safe Harbor“ und im Jahr 2020 den so genannten „Privacy Shield“. Seit dem 10. Juli 2023 liegt nun ein neuer Angemessenheitsbeschluss zum Datentransfer in die USA auf der Grundlage des „EU-US Data Privacy Framework“ vor, über den hier bereits berichtet worden ist (Beck-Blog-Beitrag vom 10.7.2023). Dieses Regelwerk ist recht komplex und wirft einige Anwendungsfragen auf. Daher ist es sehr begrüßenswert, dass nunmehr die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) am 4.9.2023 Anwendungshinweise zu dem Angemessenheitsbeschluss zum EU-US Data Privacy Framework vorgelegt hat. In einer Pressemitteilung der Datenschutzkonferenz heißt es zum Inhalt:

„Nach einer Einführung zum Datenschutz bei Drittlandsübermittlungen enthält das Dokument einerseits Informationen für die Datenexporteure, also die Verantwortlichen und Auftragsverarbeiter, die Daten in die USA übermitteln. Andererseits erfahren betroffene Personen, welche Rechtsschutz- und Beschwerdemöglichkeiten sie haben. Wer sich weiter informieren will, findet in dem Dokument Links zu zahlreichen Materialien, beispielsweise vom Europäischen Datenschutzausschuss. Angesichts der vorherigen für ungültig erklärten Angemessenheitsbeschlüsse für die USA wollen viele wissen, ob den Angemessenheitsbeschluss EU-US Data Privacy Framework dasselbe Schicksal ereilen wird wie Safe Harbor und den Privacy Shield. Diese Frage kann die Datenschutzkonferenz nicht beantworten. Zum jetzigen Zeitpunkt handelt es sich bei dem Angemessenheitsbeschluss um geltendes EU-Recht. Neben den vorgesehenen Evaluationen durch die EU-Kommission, aus denen Anpassungen oder eine Aufhebung resultieren können, bestehen Möglichkeiten für eine gerichtliche Überprüfung des neuen Angemessenheitsbeschlusses.“

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben