Neues Datenschutzabkommen zwischen der EU und den USA
Seit der EuGH (Gerichtshof der Europäischen Union) in seiner sogenannten „Schrems II“-Entscheidung am 16. Juli 2020 das damalige Privacy Shield gekippt hat, stand das Thema „internationaler Datentransfer“ ständig auf der Agenda der Datenschutzbeauftragten und den Stellungnahmen der europäischen Aufsichtsbehörden.
Bis Juli 2020 galten die USA laut eines Angemessenheitsbeschlusses der Europäischen Kommission (basierend auf dem EU-US-Privacy-Shield-Abkommen) als sicheres Drittland. Das Datenschutzniveau wurde also als ähnlich gut eingeschätzt wie das der EU.
Am 16. Juli 2020 erklärte der EuGH das bis dahin geltende Privacy Shield nach einer Klage dagegen für ungültig (Rechtssache C-311/18, Schrems II). Seitdem galten die USA nicht mehr als sicheres Drittland, was den Datentransfer für Firmen bedeutend komplizierter gestaltete. Die rechtskonforme Gestaltung von Datenübermittlungen aus Europa in die USA entpuppte sich als eines der komplexesten und zeitaufwendigsten Themen, mit denen sich Datenschutzbeauftragte in Unternehmen in den letzten beiden Jahren beschäftigen mussten.
Ende letzten Jahres kam endlich Bewegung in die Sache: Die EU-Kommission hat Mitte Dezember 2022 ihren Entwurf für den bevorstehenden Angemessenheitsbeschluss veröffentlicht.
Und tatsächlich hat die Europäische Kommission am 10.07.2023 den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (Nachfolger des „Privacy Shields“) angenommen – somit gilt ein neues Datenschutzabkommen zwischen der EU und den USA. Der Angemessenheitsbeschluss kann nunmehr als Grundlage für Datenübermittlungen an zertifizierte Organisationen in den USA dienen.
Die Europäische Kommission hat dem Nachfolger des „Privacy Shields“ ein angemessenes Schutzniveau attestiert. Mit dem neuen Angemessenheitsbeschluss können ab sofort personenbezogene Daten aus der EU an die USA wieder fließen, ohne dass weitere Übermittlungsinstrumente oder zusätzliche Maßnahmen erforderlich sind. Dies gilt jedoch nur, sofern die Organisation, an die sie übermittelt werden, auch unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Dies müssen Unternehmen in der EU vorab prüfen. Für Betroffene und Datenexporteure besteht damit jetzt erst einmal Rechtssicherheit.
Gleichwohl zeichnet sich erneut eine Klage gegen das neue Abkommen ab – es bleibt also spannend.
Quelle: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
#WirtschaftskanzleiBeratergruppe #WB #beratergruppe #Leistungen #bL #Datenschutz #Datenschutzabkommen #Datentransfer #PrivacyShield