Hintergrund: Reaktion auf Schrems II Urteil

Die EU-Kommission hat einen wegweisenden Beschluss zum EU-US Data Privacy Framework getroffen, der Datentransfers in die USA wieder rechtssicher ermöglicht. Dieser Schritt kommt nach drei Jahren Unsicherheit infolge des Schrems II-Urteils des Europäischen Gerichtshofs (EuGH). In dem Urteil wurde das bisherige Privacy Shield Framework für ungültig erklärt, da es den rechtsstaatlichen Mindeststandards nicht genügte, und die Massenüberwachung durch US-Geheimdienste einen Verstoß gegen die Grundrechte darstellte.

Beschluss der EU-Kommission: freier Datenfluss an selbstzertifizierte Unternehmen

Ein zweistufiger Rechtsschutzmechanismus wurde im neuen EU-US Data Privacy Framework eingeführt, der es Bürgern ermöglicht, gegen Rechtsverstöße bei der Überwachung durch US-Geheimdienste zu klagen. Ein quasi-gerichtlicher „Data Protection Review Court“ entscheidet über diese Beschwerden. Dadurch wird das Datenschutzniveau in den USA nun als gleichwertig mit dem der EU angesehen, vorausgesetzt, dass sich US-Unternehmen nach dem EU-US Data Privacy Framework selbst zertifiziert haben.

Beschluss der EU-Kommission: freier Datenfluss an selbstzertifizierte Unternehmen

Die Kommission sieht durch diese Verbesserung im amerikanischen Geheimdienstrecht jetzt das US-Datenschutzniveau als gleichwertig gegenüber der EU an, wenn sich US-Unternehmen nach dem EU-US Data Privacy Framework selbst zertifiziert haben. Daher hat sie einen Angemessenheitsbeschluss erlassen (Art. 45 DSGVO), nach welchem personenbezogene Daten an selbstzertifizierte US-Unternehmen ohne Weiteres übermittelt werden können.

Selbstzertifizierung des US-Unternehmens nötig

Das EU-US Data Privacy Framework enthält bestimmte Prinzipien für diese Selbstzertifizierung von US-Unternehmen, die sich am europäischen Datenschutzrecht orientieren. Diese sind notwendig, weil die USA kein allgemein gültiges umfassendes Datenschutzgesetz haben.

Die Selbstzertifizierung erfolgt durch Registrierung des US-Unternehmens auf einer Webseite des U.S. Department of Commerce gegen eine Registrierungsgebühr.  Ab sofort gelten zudem die ca. 2600 Privacy-Shield-zertifizierten US-Unternehmen zugleich als Data-Privacy-Framework-selbstzertifiziert. Darunter sind alle wichtigen amerikanischen Cloud-Anbieter, SaaS-Anbieter und IT-Dienstleister.

Eine Schrems-III-Entscheidung zeichnet sich ab

Es bleibt abzuwarten, wie sich die Situation entwickeln wird. Das Thema EU-US-Datenschutz bleibt weiterhin eine Herausforderung im Datenschutzrecht, doch der aktuelle Beschluss der EU-Kommission ist ein wichtiger Schritt in die Rechtssicherheit nach dem Schrems II-Urteil.

Unsere ausführliche Mandanteninformation zu diesem Thema können Sie unter diesem Link abrufen.

Zum Newsletter anmelden

und immer aktuell im Datenschutz informiert.

Weitere Artikel lesen

Google zieht die Zügel an: Zurück ins Büro oder Punktabzug!

Google zieht die Zügel an: Zurück ins Büro oder Punktabzug!

1. Juli 2024
Datenschutzkonferenz veröffentlicht Leitfaden für KI: Was Unternehmen und Behörden wissen müssen

Datenschutzkonferenz veröffentlicht Leitfaden für KI: Was Unternehmen und Behörden wissen müssen

7. Mai 2024
Droht TikTok in den USA das Aus? – Ein Blick auf Bidens neueste Gesetzesunterschrift

Droht TikTok in den USA das Aus? – Ein Blick auf Bidens neueste Gesetzesunterschrift

29. April 2024