Neuer Angemessenheitsbeschluss der EU-Kommission für den Datenschutzrahmen EU-USA
- 18.07.2023
- Lesezeit 2 Minuten
Die Europäische Kommission hat am 10. Juli 2023 einen neuen Angemessenheitsbeschluss erlassen. In diesem wird festgelegt, dass die USA ein mit der EU vergleichbares Schutzniveau für personenbezogene Daten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden, gewährleisten.
Auslöser für die Fassung eines neuen Angemessenheitsbeschlusses war die sogenannte Schrems II-Entscheidung des EuGH vom 16. Juli 2020, in welcher der vorherige Angemessenheitsbeschluss zum Datenschutzschild EU-USA („Privacy Shield“) für ungültig erklärt wurde.
Welche neuen Anforderungen bringt der Datenschutzrahmen EU-USA
Mit dem Datenschutzrahmen EU-USA werden neue verbindliche Garantien eingeführt, die den Anforderungen der EuGH-Entscheidung vom 16. Juli 2020 entsprechen sollen. Unter anderem wird der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismäßiges Maß beschränkt sowie ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court) geschaffen. Zu diesem Gericht haben Einzelpersonen in der EU Zugang.
Stellt es fest, dass bei der Datenerhebung gegen die neuen Garantien verstoßen wurde, kann es die Löschung der Daten anordnen. Den EU-Bürgerinnen und -Bürgern werden mehrere Rechtsbehelfe offenstehen, falls ihre Daten von US-Unternehmen nicht ordnungsgemäß behandelt werden. Dazu gehören kostenlose unabhängige Streitbeilegungsmechanismen und eine Schiedsstelle.
US-Unternehmen können sich jetzt nach dem Datenschutzrahmen EU-USA zertifizieren lassen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten, um als sicherer Datenempfänger nach Art. 44, 45 DSGVO anerkannt zu sein.
Übermittlung personenbezogener Daten in die USA nun rechtssicher?
Die Übermittlung personenbezogener Daten in die USA kann nun vorerst in einem rechtssicheren Rahmen stattfinden. Gleichwohl wird sich der EuGH in kurzer Zeit mit der Rechtmäßigkeit des Datenschutzrahmens EU-USA befassen.
Unternehmen, die personenbezogene Daten in die USA übermitteln (hier reicht bereits der Einsatz gängiger Cloud-Software wie Microsoft 365 aus), sollten bei den Anbietern jedenfalls prüfen, ob eine entsprechende Zertifizierung vorliegt.