logo_klein
EU-US-Privacy-Framework: Neues zum Datenverkehr zwischen EU und USA
EU-US-Privacy-Framework: Neues zum Datenverkehr zwischen EU und USA

Lange haben Unternehmer auf beiden Seiten des Atlantiks darauf gewartet, nun ist es wirklich da. Das EU-US-Privacy-Framework ist am 11. Juli 2023 in Kraft getreten und soll den „free flow of data“ zwischen dem EWR und den USA wieder ermöglichen. Auf Seiten der USA gab es begleitend dazu auch einige Gesetzesänderungen, die die Zugriffsmöglichkeiten für US-Behörden auf Daten von Europäern einschränken und gewisse Rechtsschutzmöglichkeiten für Europäer eröffnen. Anders als bei normalen Angemessenheitsbeschlüssen gibt es jedoch noch eine Reihe an Themen zu beachten.

Unterschied des EU-US-Privacy-Framework zu anderen Angemessenheitsbeschlüssen

Bei anderen Angemessenheitsbeschlüssen, wird einem bestimmten Land bescheinigt, dass die dortigen Regelungen zum Datenschutz (unter Einbeziehung weiterer Prinzipien wie etwa Menschenwürde und Rechtsstaatlichkeit), gleichwertig sind mit den Regelungen der Europäischen Union. Der Angemessenheitsbeschluss gilt damit unmittelbar für den Datenverkehr mit diesem Land. Folge ist, dass keine Standardvertragsklauseln oder sonstige Garantien nach Art 46 DSGVO benötigt werden.

Zertifizierungssystem gemäß EU-US-Privacy-Framework

Beim EU-US Data Privacy Framework wird – wie schon zuvor bei Privacy Shield und Safe Harbor – auf ein Zertifizierungssystem gesetzt. US-Unternehmen können ihre Teilnahme am EU-US Data Privacy Framework zertifizieren lassen. Hierbei müssen Sie sich verpflichten eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten. Dazu gehören beispielsweise Datenschutzgrundsätze wie Zweckbindung, Datenminimierung und Datenspeicherung gehören, aber auch spezifische Verpflichtungen in Bezug auf die Datensicherheit und die Weitergabe von Daten an Dritte.

Ablauf in der Praxis

US-Unternehmen können die Zertifizierung über die Webseite https://www.dataprivacyframework.gov/ des US-Handelsministeriums vornehmen. Jedoch ist die entsprechende Seite aktuell (12.07.2023) noch „under construction“. Es gibt also aktuell noch keine US-Unternehmen, die nach dem neuen Framework zertifiziert sind. Daher kann aktuell auch noch kein Datentransfer auf das neue Framework gestützt werden. Dies dürfte sich in den nächsten Wochen ändern.

Was sagen die Kritiker?

Wie zu erwarten bleibt die Kritik an EU-US-Abkommen zum Datenschutz aufrecht. Die NGO noyb seiht zu viele Parallelen zu Safe Harbor und Privacy Shield. Die Gesetzesänderungen auf US-Seite werden als nicht ausreichend angesehen. Man habe die Klage bereits in der Schublade und sobald es die ersten Anwendungsfälle für das neue Framework gibt, werde diese eingebracht. Schrems III werden wir also jedenfalls erleben.

Was bedeutet der Angemessenheitsbeschluss für die Praxis?

Solange keine gegenteilige Entscheidung des EuGH vorliegt, kann eine Datenübermittlung in die USA dann auf das neue EU-US-Privacy-Framework gestützt werden, wenn das Unternehmen für die spezifisch bezogene Leistung zertifiziert ist. Es ist nämlich durchaus denkbar, dass sich US-Unternehmen nur bezüglich einiger Services zertifizieren lassen, andere Services hingegen lieber nicht strengeren Datenschutzregeln unterwerfen wollen.

Quellen

Angemessenheitsbeschluss EU-US Privacy Framework
Q&A der EU-Kommission

Sie haben weitere Fragen im Datenschutzrecht?

Sie haben weitere Fragen zum EU-US-Privacy-Framework oder wollen sich in anderen Bereichen des Datenschutzrechts beraten lassen? Melden Sie sich gerne bei uns unter office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.

Scroll to Top