Datenübermittlung in die USA – Datenschutzkonform oder doch nicht?
Nachdem das Privacy Shield für ungültig erklärt wurde, wurde mit dem „EU-U.S. Data Privacy Framework“ ein neues Datenschutzabkommen zwischen der EU und den USA ins Leben gerufen. Dieses bildet die Grundlage für einen im Juni 2023 gefassten Beschluss der Europäischen Kommission, in dem das Datenschutzniveau für zertifizierte Unternehmen in den USA als angemessen erklärt wird („Angemessenheitsbeschluss“).
Was ist ein Angemessenheitsbeschluss?
Gemäß Art. 44 DSGVO ist der Transfer personenbezogener Daten in Drittländer nur dann zulässig, wenn bestimmte Voraussetzungen erfüllt werden. Genauer gesagt, muss ein Transfermechanismus den Transfer legitimieren. Durch einen Angemessenheitsbeschluss kann die Europäische Kommission feststellen, dass ein Drittland, ein Gebiet eines Drittlands oder ein bestimmter Sektor eines Drittlands ein angemessenes Datenschutzniveau bietet. In diesem Fall dürfen Unternehmen personenbezogene Daten ohne weitere Voraussetzungen an die betreffenden Empfänger im Drittland übermitteln.
Bedeutung für die Praxis
Mit dem EU-U.S. Data Privacy Framework und dem entsprechenden Angemessenheitsbeschluss erleben EU-Unternehmen, die US-Dienste nutzen und dadurch personenbezogene Daten in die USA übermitteln, eine deutliche Erleichterung. Diese Entwicklung ist aus wirtschaftlicher Sicht zu begrüßen. Allerdings ist Vorsicht geboten: Der Angemessenheitsbeschluss kommt nur dann als Transfermechanismus infrage, wenn das US-Unternehmen, an das personenbezogene Daten übermittelt werden sollen, über eine gültige Zertifizierung nach dem EU-U.S. Data Privacy Framework verfügt.