Das EU-US Data Privacy Framework ist seit dem 10. Juli dieses Jahres in Kraft. Diese Vereinbarung ermöglicht es Unternehmen, Daten unter bestimmten Bedingungen in die USA zu übertragen. Carola Sieling ist bereits zum vierten Mal (Folge 27, Folge 18, Folge 56) in der c’t Auslegungssache zu Gast und erklärt in Folge 93 zusammen mit Joerg Heidrich (Justiziar des Heise Verlags) und Holger Bleich (Redakteur des Heise Verlags) unter welchen Voraussetzungen das für Unternehmen gelingt.
Die Genehmigung für diese Übertragung basiert auf einer neuen Angemessenheitsentscheidung der EU-Kommission, nachdem die vorherigen Entscheidungen vom Europäischen Gerichtshof aufgehoben wurden.
Mit dem Angemessenheitsbeschluss ist es nun wieder möglich, personenbezogene Daten ohne weitere Übermittlungsinstrumente (wie z.B. Standardvertragsklauseln (SCC)) oder zusätzliche Maßnahmen an zertifizierte Organisationen in den USA zu übermitteln.
Somit ist nun auch aus datenschutzrechtlicher Sicht eine Rechtssicherheit für Betroffene und Datenexporteure gegeben.
Es ist jedoch zu beachten, dass der Angemessenheitsbeschluss nur für zertifizierte Organisationen gilt, die sich unter dem EU-U.S. Data Privacy Framework zertifizieren lassen. Unternehmen in der EU müssen daher bei Datenübermittlung prüfen, ob die Organisation, an die Ihr Unternehmen die personenbezogenen Daten übermitteln möchte, zertifiziert ist.
Wie geht es weiter?
In näherer Zukunft werden sich wahrscheinlich viele am europäischen Markt agierenden US-Dienstleister zertifizieren lassen und dem Framework beitreten. Das U.S. Department of Commerce veröffentlicht an dieser Stelle die Zertifizierungen.
Was ist zu tun?
Identifizieren Sie Ihre Datenexporte in die USA.
Prüfen Sie in regelmäßigen Abständen, ob die betroffenen Dienstleister zertifziert sind und ergänzen Sie Ihre datenschutzrechtliche Dokumentation entsprechend.
Wichtig zu wissen!
Der Angemessenheitsbeschluss hat keine Wirkung für die Vergangenheit. Für Datenexporte in die USA im Zeitraum seit dem 16.07.2020 bis zum 9.07.23 verbleibt es bei den erheblichen Anforderungen (SCC; Transfer Impact Assessment (TIA)).
Haben Sie Fragen oder Beratungsbedarf zum EU-US Data Privacy Framework?
Sprechen Sie uns an!
