Aktuelles & Veranstaltungen

Europäische Kommission erlässt neuen Angemessenheitsbeschluss für Datentransfers mit den USA

Die Europäische Kommission hat am 10. Juli 2023 einen neuen Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework erlassen, der zertifizierten Unternehmen in den USA erneut ein angemessenes Datenschutzniveau bescheinigt.

In der Konsequenz müssen neben den allgemein gültigen Sicherheitsmaßnahmen der DSGVO keine zusätzlichen Maßnahmen mehr im Rahmen der Datenübermittlung in die USA berücksichtigt werden, soweit das Unternehmen sich beim U.S. Department of Commerce zertifiziert hat. Ob dies der Fall ist, müssen Verantwortliche vor einem etwaigen Datentransfer prüfen. Die Liste der zertifizierten Unternehmen ist hier einsehbar.

Sofern Unternehmen nicht zertifiziert sind, müssen für Datenübermittlungen in die USA geeignete Garantien i.S.d. Art. 44 ff. DSGVO vorliegen. D.h. die Datenübermittlungen können dann z.B. weiterhin durch den Abschluss der EU-Standardvertragsklauseln (SCC) abgesichert werden.

Was lange währt, wird endlich gut?

Nachdem der EuGH bereits das Safe Harbor Abkommen (durch das Schrems-I-Urteil, 2015) und das Privacy Shield (durch das Schrems-II-Urteil, 2020) für ungültig erklärt hat, gibt es nun drei Jahre später aufgrund des Trans-Atlantic Data Privacy Frameworks („TADPF“) den neuen Angemessenheitsbeschluss.

Die seitdem herrschende Rechtsunsicherheit beim Datentransfer zwischen der EU und den USA ist damit (vorübergehend) beendet. Doch ob der neue Angemessenheitsbeschluss sich länger hält als seine Vorgänger bleibt noch abzuwarten.

NOYB, die Datenschutzorganisation von Max Schrems, hat bereits angekündigt auch dieses dritte Abkommen dem EuGH zur Überprüfung vorzulegen. Schrems kritisiert, dass das neue Abkommen weitgehend eine Kopie des gescheiterten Privacy Shields sei und an dem grundsätzlichen Problem der Massenüberwachung im Rahmen des FISA 702 nichts ändere.

Es ist also durchaus möglich, dass der EuGH in ein bis zwei Jahren auch das dritte Abkommen zwischen der EU und den USA für ungültig erklärt.

Ihr Datenschutz-Team der it.sec aus VolljuristInnen und Beratenden für Datenschutz

Back To Top