Der EuGH hat bekanntlich das „Safe Harbor“-Abkommen 2015 und das „Privacy Shield„- Abkommen 2020 für ungültig erklärt, da die US-Rechtslage (Massenüberwachung ohne Rechtsschutz) kein angemessenes Datenschutzniveau im Sinne der DSGVO gewährleistet.
Die EU-Kommission und die USA unternehmen nun einen erneuten Anlauf, um einen datenschutzrechtlich zulässigen transatlantischen Datentransfer in die USA zu ermöglichen.
Im März 2022 haben sich die EU-Kommission und die USA auf das Trans-Atlantic Data Privacy Framework kurz (TADPF) geeinigt und wurde von US-Präsident Joe Biden auf Basis dieses Abkommens im Oktober 2022 eine Executive Order erlassen. Zusammengefasst soll der Datenzugriff von US-Geheimdiensten auf ein verhältnismäßiges Maß eingeschränkt und die weitere Verarbeitung bis zur Löschung der personenbezogenen Daten geregelt werden.
Des Weiteren wird ein zweistufiges Rechtschutzverfahren in den USA eingeführt. Betroffene können sich an einen „Civil Liberties Protection Officer“ (Beamten) wenden, der überprüft, ob von diesem Betroffenen personenbezogene Daten durch US-Geheimdienste verarbeitet werden. Zusätzlich wird ein “Data Protection Review Court” (Gericht) eingeführt, bei welchem Betroffene Beschwerden einbringen können.
Aufgrund der Garantien der USA hat die EU-Kommission am 10.7.2023 einen Angemessenheitsbeschluss gemäß Art. 45 Abs. 3 DSGVO gefasst und damit den Weg für den Datentransfer in die USA geebnet. Der Angemessenheitsbeschluss ist sofort in Kraft getreten.
Unternehmen dürfen nunmehr Daten in die USA übertragen, wenn sie sich einer Selbstzertifizierung nach dem EU-U.S. Data Privacy Framework unterziehen und in die Data Privacy Framework List (DPF List) aufgenommen werden. Zusätzliche Garantien im Sinne der DSGVO müssen für die Datenübertragung nicht mehr erfüllt werden.
Der Angemessenheitsbeschluss besteht erst seit einer Woche, es haben sich jedoch zum 17.7.2023 bereits 2.617 Unternehmen einer Selbstzertifizierung nach dem DPF unterzogen und in die Liste eintragen lassen. Darunter natürlich auch die großen US-IT-Unternehmen. Es ist damit zu rechnen, dass die Liste in den kommenden Wochen und Monaten noch weiterwächst und zeigt dies deutlich, wie dringend eine praktikable Lösung für den transatlantischen Datentransfer erwartet wurde. Seit der Aufhebung des Privacy Shield- Abkommens war ein Datentransfer nämlich nur noch auf Basis von Standardvertragsklauseln möglich, was mit erheblichem Aufwand und Kosten verbunden war. Klein- und Mittelunternehmen war es damit nur schwer möglich einen Datentransfer in die USA vorzunehmen. Der Angemessenheitsbeschluss ist daher zu begrüßen.
Anzumerken ist dabei, dass der Verein noyb rund um Max Schrems diesen Beschluss bereits kritisiert und angekündigt hat auch das neue Abkommen vor dem EuGH bekämpfen zu wollen.