Hintergrund: Reaktion auf Schrems II Urteil
Die EU-Kommission hat einen wegweisenden Beschluss zum EU-US Data Privacy Framework getroffen, der Datentransfers in die USA wieder rechtssicher ermöglicht. Dieser Schritt kommt nach drei Jahren Unsicherheit infolge des Schrems II-Urteils des Europäischen Gerichtshofs (EuGH). In dem Urteil wurde das bisherige Privacy Shield Framework für ungültig erklärt, da es den rechtsstaatlichen Mindeststandards nicht genügte, und die Massenüberwachung durch US-Geheimdienste einen Verstoß gegen die Grundrechte darstellte.
Beschluss der EU-Kommission: freier Datenfluss an selbstzertifizierte Unternehmen
Ein zweistufiger Rechtsschutzmechanismus wurde im neuen EU-US Data Privacy Framework eingeführt, der es Bürgern ermöglicht, gegen Rechtsverstöße bei der Überwachung durch US-Geheimdienste zu klagen. Ein quasi-gerichtlicher „Data Protection Review Court“ entscheidet über diese Beschwerden. Dadurch wird das Datenschutzniveau in den USA nun als gleichwertig mit dem der EU angesehen, vorausgesetzt, dass sich US-Unternehmen nach dem EU-US Data Privacy Framework selbst zertifiziert haben.
Beschluss der EU-Kommission: freier Datenfluss an selbstzertifizierte Unternehmen
Die Kommission sieht durch diese Verbesserung im amerikanischen Geheimdienstrecht jetzt das US-Datenschutzniveau als gleichwertig gegenüber der EU an, wenn sich US-Unternehmen nach dem EU-US Data Privacy Framework selbst zertifiziert haben. Daher hat sie einen Angemessenheitsbeschluss erlassen (Art. 45 DSGVO), nach welchem personenbezogene Daten an selbstzertifizierte US-Unternehmen ohne Weiteres übermittelt werden können.
Selbstzertifizierung des US-Unternehmens nötig
Das EU-US Data Privacy Framework enthält bestimmte Prinzipien für diese Selbstzertifizierung von US-Unternehmen, die sich am europäischen Datenschutzrecht orientieren. Diese sind notwendig, weil die USA kein allgemein gültiges umfassendes Datenschutzgesetz haben.
Die Selbstzertifizierung erfolgt durch Registrierung des US-Unternehmens auf einer Webseite des U.S. Department of Commerce gegen eine Registrierungsgebühr. Ab sofort gelten zudem die ca. 2600 Privacy-Shield-zertifizierten US-Unternehmen zugleich als Data-Privacy-Framework-selbstzertifiziert. Darunter sind alle wichtigen amerikanischen Cloud-Anbieter, SaaS-Anbieter und IT-Dienstleister.
Eine Schrems-III-Entscheidung zeichnet sich ab
Es bleibt abzuwarten, wie sich die Situation entwickeln wird. Das Thema EU-US-Datenschutz bleibt weiterhin eine Herausforderung im Datenschutzrecht, doch der aktuelle Beschluss der EU-Kommission ist ein wichtiger Schritt in die Rechtssicherheit nach dem Schrems II-Urteil.
Unsere ausführliche Mandanteninformation zu diesem Thema können Sie unter diesem Link abrufen.