Seit gestern ist die USA wieder ein sicheres Drittland mit angemessenem Datenschutzniveau, was die Übermittlung von personenbezogenen Daten angeht.
Gestern, am 11.07.23, hat die EU-Kommission den entsprechenden Angemessenheitsbeschluss angenommen.
Mit dem Angemessenheitsbeschluss ist es nun wieder möglich, personenbezogene Daten ohne weitere Übermittlungsinstrumente (wie z.B. Standardvertragsklauseln (SCC)) oder zusätzliche Maßnahmen an zertifizierte Organisationen in den USA zu übermitteln.
Somit ist nun auch aus datenschutzrechtlicher Sicht eine Rechtssicherheit für Betroffene und Datenexporteure gegeben.
Es ist jedoch zu beachten, dass der Angemessenheitsbeschluss nur für zertifizierte Organisationen gilt, die sich unter dem EU-U.S. Data Privacy Framework zertifizieren lassen. Unternehmen in der EU müssen daher bei Datenübermittlung prüfen, ob die Organisation, an die Ihr Unternehmen die personenbezogenen Daten übermitteln möchte, zertifiziert ist.
Wie geht es weiter?
In näherer Zukunft werden sich wahrscheinlich viele am europäischen Markt agierenden US-Dienstleister zertifizieren lassen und dem Framework beitreten. Das U.S. Department of Commerce wird vermutlich an dieser oder anderer Stelle (beinhaltet derzeit veraltete EU-US Privacy-Shield Zertifizierungen) die Zertifizierungen veröffentlichen.
Was ist zu tun?
Identifizieren Sie Ihre Datenexporte in die USA.
Prüfen Sie in regelmäßigen Abständen, ob die betroffenen Dienstleister zertifziert sind und ergänzen Sie Ihre datenschutzrechtliche Dokumentation entsprechend.
Wichtig zu wissen!
Der Angemessenheitsbeschluss hat keine Wirkung für die Vergangenheit. Für Datenexporte in die USA im Zeitraum seit dem 16.07.2020 bis zum 9.07.23 verbleibt es bei den erheblichen Anforderungen (SCC; Transfer Impact Assessment (TIA)).
