Gute Nachrichten aus Brüssel: das „Trans-Atlantic Data Privacy Framework“ ist da!
Was ist das „Trans-Atlantic Data Privacy Framework“?
Eine Vereinbarung zwischen den USA und der Europäischen Union. Darin haben sich die Parteien auf bestimmte Mechanismen geeinigt, die der Sicherstellung eines angemessenen Datenschutzniveaus für Bürger der Europäischen Union bei Verarbeitungen ihrer personenbezogenen Daten in den USA dienen. Auf Basis des „Trans-Atlantic Data Privacy Frameworks“ hat die Europäische Kommission am 10. Juli 2023 einen sogenannten „Angemessenheitsbeschluss“ erlassen.
Was ist ein Angemessenheitsbeschluss?
Ein „Angemessenheitsbeschluss“ ist ein in Art. 45 Abs. 3 DSGVO vorgesehenes Rechtsinstrument, welches Datenexporte aus der Europäischen Union in Drittstaaten legitimiert. Liegt für ein Land ein solcher „Angemessenheitsbeschluss“ vor, ist der Transfer von personenbezogenen Daten in diesen Drittstaat ohne weitere Maßnahmen zulässig.
Und jetzt gibt es einen Angemessenheitsbeschluss für die USA?
Ja, genau.
Gab es so etwas nicht schon einmal? Und warum ist das wichtig?
Ja, das ist nicht der erste Angemessenheitsbeschluss im Hinblick auf die USA. 2015 hatte die Europäische Kommission schon einmal einen Angemessenheitsbeschluss erlassen, basierend auf dem „Privacy Shield“ Abkommen zwischen der Europäischen Union und den USA.
Mit dem „Schrems II“ Urteil hat der EuGH im Juli 2020 diesen Angemessenheitsbeschluss für rechtswidrig erklärt. Seit diesem Datum waren Datenexporte in die USA rechtlich sehr problematisch, da nur unter Zuhilfenahme von anderen Rechtsinstrumenten – insbesondere der sogenannten „Standardvertragsklauseln“ im Sinn von Art. 46 Abs. 2 (c) DSGVO – zulässig. Dies war insbesondere im Hinblick auf den Einsatz von US-Amerikanischen IT-Services herausfordernd, da bei der Nutzung dieser Instrumente regelmäßig ein Datenexport stattfindet. Mit dem neuen Angemessenheitsbeschluss entfallen diese Probleme, Datenexporteure können sich nun wieder auf Art. 45 Abs. 3 DSGVO berufen. Mit ihm wird also die Anwendung vieler IT-Services wieder deutlich einfacher, als den vergangenen drei Jahren.
Was muss ich noch beachten?
Der Erlass des Angemessenheitsbeschlusses schafft die rechtlichen Voraussetzungen für einen Datenexport auf unserer Seite des Atlantiks. Damit sich ein deutsches Unternehmen aber auf den Angemessenheitsbeschluss berufen kann, muss der Empfänger des Datenexports in den USA sich den Bestimmungen des „Trans-Atlantik Privacy Frameworks“ unterwerfen. Das US-amerikanische Partnerunternehmen muss sich also in den USA verbindlich zur Einhaltung der sich aus dem „Trans-Atlantik Privacy Framework“ ergebenden, detaillierten Datenschutzpflichten verpflichten.
Europäische Unternehmen, die ihre Datenexporte in die USA mit Hilfe des neuen Angemessenheitsbeschluss legitimieren möchten müssen also prüfen, ob das Partnerunternehmen in den USA entsprechend zertifiziert ist. Es steht jedoch zu vermuten, dass insbesondere die großen Unternehmen in den USA sich rasch zertifizieren lassen werden.
Und schließlich: natürlich braucht jede Verarbeitung personenbezogener Daten weiterhin eine Rechtsgrundlage. Der Angemessenheitsbeschluss erleichtert die Herausforderung des Datenexports, entbindet den für die Datenverarbeitung Verantwortlichen aber nicht von seinen auch weiterhin bestehenden rechtlichen Pflichten im Hinblick auf die Verarbeitung personenbezogener Daten.
Noch Fragen?
Sprechen Sie uns gerne an.